To Whom It Concerns …

Nach den verschiedenen Hacks auf WordPress-Blogs, muss man sich ja Gedanken machen, wie man das Ganze verhindert (immer aktuelle Versionen, etc. …) und wie man solche Einbrüche erkennt.

Gerade für letzteres hat Robert Bašić kurz nach seinem Neustart ein sehr interessantes Tool vorgestellt: HackDetect.

Das (kostenlose!) Tool funktioniert im Prinzip ganz simpel: Es merkt sich, welche Dateien und Verzeichnisse in welcher Form jetzt auf dem WebServer liegen und meldet bei jeder folgenden Prüfung sobald er dort eine Veränderung festgestellt hat. Das muss dann zwar nicht unbedingt ein Schädling sein (etwa wenn man selbst Bilder für Beiträge hochlädt, oder man in der Administrationsoberfläche selbst gerade am Theme rumschraubt), aber sollte ein Schädling sich gerade festgesetzt haben, so würde man dies nun bemerken.

Ein bisschen mitdenken ist also notwendig, aber auf jeden Fall wird der Abgleich der Dateibäume erheblich vereinfacht. Und wenn man die Ausnahmen (mit Bedacht!) sinnvoll konfiguriert (von sich ständig automatisch ändernden Dateien wie einer automatischen Sitemap etwa), dann kann man die Anzahl der dann noch zu prüfenden Meldungen gut reduzieren.

Als kleiner „Haken“¹: Man muss seine FTP-Zugangsdaten in das Programm eingeben, damit es Zugriff auf den Verzeichnisbaum bekommt. Klar. Aber da das Programm eben keinen öffentlichen Quelltext hat, muss man dem Programmierer der Software an dieser Stelle natürlich vertrauen.

Ich habe keinerlei Grund, dem Autor Johannes Oppermann, der sein Programm kostenlos zur Verfügung stellt, in irgendeiner Weise zu misstrauen, aber korrekterweise muss ich an dieser Stelle halt mal erwähnt haben.

Als weitere Ideen zum Schutz/Monitoring werden auch noch folgende Links genannt:

• Das WordPress-Plugin DigoWatchWP, das automatisiert eMail-Benachrichtigungen verschickt, sobald sich Blog-Beiträge ändern²
• Frank Bültges Liste WordPress Plugins für mehr Sicherheit

1. 1 Vielleicht auch nur für so Übervorsichtige wie mich?!
2. 2 Sich ändernde Beiträge sind natürlich nur dann verdächtig, wenn man nicht gerade an einem Beitrag gearbeitet hat. ;)

Ein wichtiger Hinweis an alle Webseiten-Betreiber!

Zur Zeit scheint sich ein unangenehmer Gast auf verschiedenen Webseiten¹ herumzutreiben, von dem die Seitenbetreiber vermutlich noch gar nichts wissen.

Vermutlich ist es auch ein anderer Schädling als der, der Robert Bašić gerade dazu gezwungen motiviert hat, sein Blog neu aufzuspielen.

Auf irgendeine Weise wurden (bei diesem Schädling und nicht bei dem o.g. Bašić-Schädling) wohl Quelldateien des Blogs gehacked und derartig modifiziert, dass eingehende Anfragen auf die Adresse anyresults.com umgeleitet werden.

Anscheinend aber auch nicht immer! Wenn ich die Seite direkt ansurfe, gibt es anscheinend keine Weiterleitung. Man muss wohl schon einen Referrer übermitteln, um weitergeleitet zu werden. Danach ist die Weiterleitung dann anscheinend auch aus. (Cookies?)

Daher ist das Testen, ob die eigene Seite betroffen ist, etwas schwieriger, weil man beim Versuch, direkt nachzuschauen, eben nicht weitergeleitet wird.

Weiterlesen »

1. 1 Ich weiß nicht, ob es nur (WordPress-)Blogs betrifft (mir ist es bisher nur bei einigen Blogs aufgefallen), so dass ich hier einfach für alle schreibe.

Wie jede andere Software auch ist WordPress nicht immun gegen Sicherheitslücken. Wenn man die Installation auf dem neuesten Stand hält und keine dubiosen PlugIns verwendet, kann man sich (eine vernünftige Server-Konfiguration und -Pflege vorausgesetzt) schon ziemlich sicher sein.

Dennoch würde man sich wohler fühlen, wenn man irgendwelche Tools benutzen könnte, um die Sicherheit (wenigstens bezüglich bereits bekannter Lücken) testen zu können. Ähnlich wie Port-Scanner und Co. gibt es auch einen WordPress Scanner von BlogSecurity.net.

Nach Eingabe des URI¹ überprüft das Tool – nach Möglichkeit – welche WordPress-Version eingesetzt wird, welche PlugIns installiert wurden und welche Versionsnummern sich auslesen lassen. Ferner wird überprüft, ob das verwendete Theme anfällig für Cross-Site Scripting (XSS) ist.

Weiterlesen »

1. 1 Früher nannte man den URI noch URL.