Lesedauer: 3 MinutenDas Sending Profile ist die Konfiguration, die alle notwendigen Informationen zum Versenden von E-Mails aus der GoPhish-Anwendung enthält. Diese Profile sind ein zentrales Element bei der Erstellung von Phishing-Simulationen, da sie festlegen, wie und von welchem Server aus Phishing-E-Mails versendet werden. Es können auch mehrere Sending Profile angelegt werden. Die...
Lesedauer: 6 MinutenPhishing ist eine Form des Cyber-Betrugs, bei der Angreifer versuchen, an vertrauliche Informationen wie Benutzernamen, Passwörter oder Kreditkartendaten zu gelangen, indem sie vorgeben, eine vertrauenswürdige Quelle zu sein. Mit der zunehmenden Abhängigkeit von digitalen Technologien haben sich auch die Phishing-Methoden weiterentwickelt und diversifiziert, um ein breiteres Spektrum von Zielen unter...
Lesedauer: 5 MinutenUnauthentifizierte Scans, wie im vorherigen Artikel beschrieben, bieten eine externe Perspektive auf die Sicherheit eines Systems, indem sie die Sichtbarkeit offener Ports, Dienste und Angriffsflächen von außen aufzeigen, ohne dass Anmeldeinformationen erforderlich sind. Diese Scans sind besonders wertvoll, um schnell grundlegende Sicherheitslücken wie offene Ports und laufende Dienste zu identifizieren,...
Lesedauer: 2 MinutenBei einer Sicherheitsüberprüfung Ihrer Webseiten können Informationen über das verwendete Betriebssystem und die Webserverinstanz angezeigt werden: Die angezeigte Informationen beziehen sich auf den Server und dessen Softwareversion, die durch die HTTP-Header, speziell den Server-Header, ausgeliefert wird. Diese Information kann von Angreifern genutzt werden, um spezifische Schwachstellen auszunutzen, die mit Ihrer...
Lesedauer: < 1 MinuteDas Deaktivieren des Zugriffs auf die readme.html und license.txt Dateien in einer WordPress-Installation kann dazu beitragen, die Sicherheit zu erhöhen, indem weniger Informationen über Ihre Website öffentlich zugänglich gemacht werden. Dies kann in einem Apache Webserver über die .htaccess-Datei im Root-Verzeichnis Ihrer WordPress-Installation erreicht werden. Fügen Sie folgende Directiven am...
Lesedauer: < 1 MinuteWenn in WordPress das Directory Listening aktiv ist, können Besucher die Inhalte der Verzeichnisse auf Ihrem Webserver sehen, wenn diese nicht durch eine Indexdatei (wie index.php oder index.html) geschützt sind. Dies kann ein Sicherheitsrisiko darstellen, da es potenziellen Angreifern ermöglicht, die Struktur Ihrer Website zu erkennen und auf Dateien zuzugreifen,...
Lesedauer: 4 MinutenUser-Enumeration in WordPress ist ein Prozess, bei dem Informationen über Benutzerkonten, typischerweise Benutzernamen, gesammelt werden. Dies kann ein Sicherheitsrisiko darstellen, da Angreifer mit Kenntnis der Benutzernamen gezielte Angriffe wie Brute-Force oder Phishing-Versuche durchführen können. User-Enumeration by WP-JASON API Es gibt verschiedene Methoden, um die User-Enumeration in WordPress durchzuführen. Sie können...
Lesedauer: 2 MinutenCMSeeK ist ein Tool zur Erkennung und Analyse von Schwachstellen in Content Management Systemen (CMS). Es wurde entwickelt, um Webentwicklern, Sicherheitsforschern und Penetrationstestern bei der schnellen Identifizierung der auf einer Zielwebsite verwendeten CMS-Software zu helfen. CMSeeK kann Informationen über die CMS-Version, mögliche Sicherheitslücken und andere relevante Sicherheitsinformationen sammeln. Es unterstützt...
Lesedauer: 6 MinutenWPScan ist ein Tool, das speziell für die Sicherheitsüberprüfung von WordPress-Websites entwickelt wurde und die automatische Suche nach Sicherheitslücken ermöglicht, indem bekannte Schwachstellen und Konfigurationsfehler abgefragt werden. Benutzer können mit WPScan nach veralteten Plugins und Themes suchen, Benutzernamen und Schwachstellen identifizieren und Passwort-Angriffe durchführen. Für einen erweiterten Zugriff auf aktuelle...
Lesedauer: 5 MinutenDie unten aufgeführten Ciphers können in Ihre Apache-Konfiguration kopiert werden. Sie bieten starke SSL-Sicherheit für alle modernen Browser und erreichen ein A+ im SSL Labs Test. Kurz gesagt wird eine starke Cipher-Suite mit aktivierter Forward Secrecy konfiguriert, SSLv2, SSLv3, TLSv1, TLSv1.1 werden deaktiviert, HTTP Strict Transport Security und X-Frame-Deny-Header werden...