To Whom It Concerns …

Wie jede andere Software auch ist WordPress nicht immun gegen Sicherheitslücken. Wenn man die Installation auf dem neuesten Stand hält und keine dubiosen PlugIns verwendet, kann man sich (eine vernünftige Server-Konfiguration und -Pflege vorausgesetzt) schon ziemlich sicher sein.

Dennoch würde man sich wohler fühlen, wenn man irgendwelche Tools benutzen könnte, um die Sicherheit (wenigstens bezüglich bereits bekannter Lücken) testen zu können. Ähnlich wie Port-Scanner und Co. gibt es auch einen WordPress Scanner von BlogSecurity.net.

Nach Eingabe des URI¹ überprüft das Tool – nach Möglichkeit – welche WordPress-Version eingesetzt wird, welche PlugIns installiert wurden und welche Versionsnummern sich auslesen lassen. Ferner wird überprüft, ob das verwendete Theme anfällig für Cross-Site Scripting (XSS) ist.

Was man aus den angezeigten Hinweisen macht, bleibt natürlich jedem selbst überlassen. Aber wenigstens dem Hinweis, immer die aktuelle Version zu benutzen, sollte man vielleicht beherzigen.

Sicherheit

Aus Sicherheitsgründen² muss man vor dem Check einen kleinen Kommentar im HTML-Head einfügen, um sicherzustellen, dass auch nur Leute, die wirklich Zugriff auf das Blog haben, diesen Test anstoßen können:

<!-- wpscanner -->

Nach Durchlaufen des Tests sollte man aus diesem Grund den Kommentar auch wieder löschen.

1. 1 Früher nannte man den URI noch URL.
2. 2 Damit nicht auch „böde Buben“ diesen Scanner dazu missbrauchen können, nach illegal ausnutzbaren Schwachstellen zu suchen. (gefunden im SW-Guide)

Dieser Beitrag wurde am Sonntag, 8. Juli 2007 um 22:10 Uhr veröffentlicht und unter Computer abgelegt. Du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. Du kannst einen Kommentar schreiben oder ein TrackBack auf Deine Seite einrichten.

Tags: Blog, Sicherheit, WordPress