• Frisches Backup ziehen – sicherheitshalber auch schon VOR allen Arbeiten!
• Plugins auf den neuesten Versionsstand bringen. Bei Plugins, wo keine aktuellen Updates angezeigt werden: prüfen, wann das Plugin zuletzt überhaupt Updates bekommen hat. Wo Updates länger als 1 Jahr her sind – prüfen (lassen) ob das Plugin noch aktuellen Sicherheitsstandards entspricht, ggf auf anderes umsteigen. 
• Theme auf den neuesten Versionsstand bringen – wenns keine gibt, auch hier prüfen, wann das Theme zuletzt überhaupt Updates bekommen hat, ggf. nachfragen ob die letzte Theme-Version mit der aktuellsten WordPress-Version funktioniert. 
• WordPress auf den neuesten Versionsstand bringen
• Inhalte: Referenzen aktualisieren, ggf. entrümpeln und ältere Referenzen aktualisieren oder entfernen
• Inhalte: Leistungen aktualisieren, ggf. entrümpeln und Dinge entfernen, die man nicht mehr anbieten will
• alle Website-Funktionen prüfen – kommen Mails übers Formular auch wirklich an? Laufen Links ins Leere? 
• finales Backup ziehen
• Zu guter Letzt darf man dann das Jahr im Footer der Website aktualisieren – 2020 kann kommen :-)

Weitere Vorschläge? Ab damit in die Kommentare!

Hier mein übliches Fotoset vom Kongress – Lizenzierung CC-BY-SA, die Bilder sind also kostenfrei mit Namensnennung und Weitergabe unter den gleichen Bedingungen einsetzbar:

Zum Album auf Flickr

Die Talks des Congresses können kostenlos und mehrsprachig unter https://media.ccc.de/b/congress/2018 abgerufen werden. Ich bin selbst noch dabei, einen Großteil davon nachzuschauen, da man alle vor Ort ja gar nicht schafft, bei mindestens 4-5 parallel laufenden Vorträgen. Wer sich nur einige wenige ansehen möchte, um ein Gefühl zu kriegen, worum es dort so geht, dem seien diese Talks an Herz gelegt. Diese sind alle auch durchaus für Einsteiger geeignet:

• Hackerethik – Eine Einführung
• Security Nightmares 0x13
• Smart Home – Smart Hack
• Internet Of Dongs
• Österreich: Überwachungsstaat oder doch nur Digitalisierung für Anfänger?
• Track me, if you … oh.
• Neusprech Crashkurs

Was seit etwa 15 Jahren als Grundregel für die Auswahl von sicheren Passworten gehalten wurde, ist nun endlich überarbeitet worden: möglichst Sonderzeichen, gemischte Groß- und Kleinschreibung sowie Zahlen sollte man verwenden, das Passwort möglichst alle 90 Tage ändern – so stand es in einer Richtline des National Institute of Standards and Technology (NIST). Bill Burr, der Erfinder dieser Richtlinien hat sich letztens dafür entschuldigt. Die Regeln des NIST (PDF) wurden letztens grundlegend überarbeitet. Keine Rede mehr von Sonderzeichen: längere, leicht zu merkende Phrasen sind offenbar sicherer, am besten mehrere Worte, die im normalen Sprachgebrauch nicht gemeinsam verwendet werden.

Der Grund: nach heutigem Stand der Technik kann ein Passwort mit 7 Stellen wie cFgHzTs in maximal etwa 8 Minuten erraten werden (und keine Sau kann sich das sinnvoll merken!) – bei WordPressIstFlauschig dauert das 16.044.779.517.127.800.000 Jahre(!) und Du hast es dir bereits gemerkt ;-)
Drüben bei 1pw.de gibts eine vollständige Zusammenstellung über den Zusammenhang zwischen Passwortlänge und maximal benötigter Zeit, die ein aktueller PC braucht, um das Passwort zu erraten.

Weiterhin sollte man allerdings nicht dasselbe Passwort für verschiedene Dienste verwenden(!!!) – wenn das Passwort in falsche Hände gerät oder die Datenbank EINES Anbieters gehackt wird, hat man sonst ein massives Problem! Um sich die verschiedenen Passworte zu merken, ist ein Passwortmanager sehr empfehlenswert. Ich verwende seit Jahren Lastpass und bin sehr zufrieden damit!

Dieser xkcd-Comic hat diese „neue“ Erkenntnis schon vor einigen Jahren thematisiert – „wir haben uns 20 Jahre lang angewöhnt, Passworte zu verwenden, die für Menschen schwer zu merken, aber für Computer einfach zu knacken sind“:

Update mit Hintergrundinformation: in diesem Video wird sehr gut erklärt und eindrucksvoll demonstriert, wie Passworte aus einer gehackten Datenbank ausgelesen werden können, obwohl sie dort üblicherweise verschlüsselt gespeichert sind – und wie das für das Knacken weiterer Datenbanken helfen kann (danke an Franz Strohmeier für den Hinweis!):

Weiters gibts 2 Panoramafotos:

• CCH – Congress Center Hamburg vor dem #33C3
• CCH – Congress Center Hamburg abends am Tag 1 #33C3

Die Talks des Congresses können kostenlos und mehrsprachig unter https://media.ccc.de/b/congress/2016 abgerufen werden. Meine Highlights bisher:

• Security Nightmares 0x11
• Edible Soft Robotics
• Hochsicherheits-Generalschlüssel Marke Eigenbau
• Fnord-Jahresrückblick
• Die Sprache der Populisten

Der Veranstaltungsort des nächsten CCC steht noch nicht fest, da das Congress Center Hamburg bis 2019 saniert wird und nicht zur Verfügung steht. In dieser platzmäßig üppigen Umgebung wird der Congress also vorerst nicht stattfinden können.

Du kannst dich noch auf Facebook einloggen?

1. Logge dich in dein Facebook-Konto ein.
2. Klicke auf diesen Facebook-Link, um dein Konto abzusichern und dein Passwort zu ändern. Das neue Passwort sollte Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie ! oder # enthalten. Passworte wie hansi123 oder der Name deiner Katze sind völlig ungeeignet!!! Lies zuerst nach, wie man ein sicheres Passwort wählt!
3. Klicke oben links auf „Profil bearbeiten“, dann auf „Kontaktinfos und allgemeine Infos“ und neben „E-Mail-Adresse“ auf „Bearbeiten“ (Screenshot) Prüfe, ob dort tatsächlich nur Mailadressen eingetragen sind, die dir gehören. Entferne alle fremden Adressen (durch Klick auf „E-Mail-Adressen hinzufügen/entfernen“).
4. Dasselbe machst du bei den eingetragenen Handynummern („Profil bearbeiten“, dann auf „Kontaktinfos und allgemeine Infos“, „Mobiltelefone“)
5. Danach Sicherheitseinstellungen anpassen: rechts oben auf das kleine Dreieck klicken (Screenshot), auf „Einstellungen“, dort links oben auf „Sicherheit“ (oder direkt mit diesem Link). Dort lässt sich z.b. unter „Anmeldungswarnungen“ einstellen, dass du verständigt wirst, wenn jemand sich mit einem neuen Gerät in dein Konto einloggt oder unter „Anmeldebestätigungen“ dass du dein Telefon als zusätzliche Sicherheitsschranke verwenden willst – vor jedem Einloggen kommt dann ein SMS mit einem Code auf dein Handy, der auf Facebook einzugeben ist. Es nutzt einem Angreifer also nicht einmal etwas, wenn der deinen Benutzernamen und dein Kennwort weiß. Ich empfehle beides zu aktivieren! Es finden sich dort noch eine Menge anderer schlauer Tuningmöglichkeiten für die Sicherheit deines Kontos (etwa „Zuverlässige Kontakte“, die man um Hilfe bitten kann, wenn man sich ausgesperrt hat oder wer im Falle deines Todes dein Facebook-Konto weiterverwalten darf)
6. Ebenfalls in den Sicherheitseinstellungen zu finden: „Deine Browser und Apps“ – hier wird verwaltet, welche Geräte und Browser als vertrauenswürdig gelten, du dich also nicht neu anmelden musst, wenn du sie verwendest. Hier empfehle ich, alle zu entfernen – du wirst dich lediglich am Handy und auf deinem Browser neu einloggen müssen und ggf. den eingerichteten Sicherheitscode eingeben müssen.
7. Zu guter Letzt: verdächtigen Apps die Zugriffsberechtigungen entziehen („Einstellungen“ -> „Sicherheit“ -> „Apps“ oder direkt mit diesem Link). Dort auf „Mit Facebook angemeldet“ und auf „Alle anzeigen“ klicken (Screenshot). Bei verdächtigen Postings am eigenen Profil steht meist dabei, welche App dieses Posting verfasst hat – diese auf jeden Fall entfernen – mit dem Mauszeiger über die betreffende App und auf das X klicken (Screenshot – und alle von der App geposteten Beiträge ebenfalls, man wird das im nächsten Schritt gefragt). Bei dieser Gelegenheit kann man gleich entrümpeln: alle Apps, die man z.B. ohnehin nicht mehr nutzt oder die suspekt erscheinen – weg damit!
8. Bonus: auch über Browser-Addons kann Spam auf ein Facebook-Konto geschleust werden. Diese sollte man also ebenfalls prüfen und verdächtige AddOns ggf. deinstallieren. Mehr Info dazu gibts drüben bei mimikama.at

Du kannst dich nicht mehr in Facebook einloggen und/oder hast keinen Zugriff mehr auf dein Mailkonto?

1. Wenn du noch Zugriff auf das Mailkonto hast, das mit Facebook verbunden ist: prüfen, ob eine Mail über eine Passwortänderung dort eingetroffen ist. Das Mail enthält einen Link, um das Passwort erneut zurückzusetzen.
2. Um das Passwort zu ändern, gibts einen entsprechenden Link auf der Facebook-Loginseite („Passwort vergessen“ bzw. „Konto vergessen“).
3. Wenn du keinen Zugriff mehr auf das Mailkonto hast, das mit Facebook verknüpft ist: dann ebenfalls auf „Passwort vergessen“ bzw. „Konto vergessen“ klicken und Benutzername bzw. Mailadresse eingeben. Im nächsten Schritt gibt es einen entsprechenden Link, wenn man keinen Zugriff mehr auf seine Mailadresse hat. Dann den Anweisungen folgen.

Es hat alles nicht funktioniert? An Facebook wenden!

Facebook bietet für diese Fälle unter www.facebook.com/hacked/ die Möglichkeit, ein gehacktes Konto wiederherzustellen – dort kann man sich auch mit altem Passwort einloggen und die Wiederherstellung des Kontos anfordern.

Zum Abschluss auf jeden Fall den Rechner mit einem aktuellen Antivirus-Programm prüfen (ich persönlich empfehle Avira).

Du hast Anmerkungen oder Ergänzungen dazu? Ab damit in die Kommentare!