Sicher bloggen mit WordPress? Teil 1

Die Aufregung war groß in den letzten Tagen: Ein Wurm, der im Internet derzeit sein Unwesen treibt, befällt WordPress Installationen. Anders als bei bisherigen Versuchen wird bei diesem Angriff auf die Software nicht sofort offenkundig, dass etwas nicht stimmt. Statt dessen wird mit einem neuen (versteckten) Admin-Account ein größtmöglicher Schaden angerichtet, so dass es meist schon viel zu spät ist, wenn der Betreiber des WordPress Blogs das bemerkt. Seiten sind unwiderruflich zerstört oder gelöscht und die Schäden zu reparieren eine Herausforderung. Was also tun?

Im folgenden soll auf ein paar Punkte hingewiesen werden, die einem die Suche nach der richtigen Antwort auf die Frage geben soll: Wie finde ich raus, ob ich betroffen bin? Was sollte ich auf jeden Fall machen? Sollte ich lieber eine andere Blogsoftware auf meinem Server einsetzen oder gar zu einem fullservice Blogdienst wechseln?

1. Wie finde ich raus, ob meine WordPress Installation gehackt wurde?

Was den aktuellen “Wurm” angeht, gibt es verschiedene Möglichkeiten das zu überprüfen. Erster Anhaltspunkt sollte sein, sich die Permalinks von WordPress anzuschauen. Haben diese komischen Code am Ende, so hat der Wurm zugeschlagen:

blogadresse.de/beitrag/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/

Dabei sind die Code Schnipsel “eval” und “base64_decode” entscheidend. Diese Veränderung der Permalink-Struktur erfolgt aber anscheinend erst in einem späteren Schritt, wenn der Wurm bereits im System sein Unwesen treibt. Der erste Schritt ist nämlich, dass der Wurm einen weiteren Administrator als Benutzer anlegt. Dabei geht er aber so geschickt vor, dass man nicht einfach im Backend im Benutzerbereich nachschauen kann, denn dort versucht der Wurm mittels JavaScript den zweiten Administrator auszublenden. Wenn man das also überprüfen will entweder JavaScript ausschalten oder am besten direkt in der MySQL Datenbank nachschauen.

Dafür sollte man in phpMyAdmin entweder in der Userdatenbank nachschauen oder einfach folgendem Tipp von Dougal Campell folgen und diese SQL Abfrage laufen lassen:

  • SELECT u.ID, u.user_login
  • FROM wp_users u, wp_usermeta um
  • WHERE u.ID = um.user_id
  • AND um.meta_key = ‘wp_capabilities’
  • AND um.meta_value LIKE ‘%administrator%’;
  • Sofern ein eigenes Tabellenschema verwendet wird, muss der Präfix wp_ entsprechend angepasst werden.

    Auch hier nur ein Admin Account? Dann ist erstmal Entwarnung angesagt. Trotzdem kein Grund sich entspannt zurückzulehnen. Was nicht ist, kann (leider) noch werden.

    2. Was sollte ich auf alle Fälle tun?

    Der häufig genannteste Tipp in Zusammenhang dieser Tage ist: Updaten. Denn insbesondere ältere Versionen von WordPress und deren Sicherheitslücken nutzt der Wurm um sich Zugang zum System verschaffen. Generell empfiehlt es sich, seine WordPress Installation auf dem neuesten Stand zu halten, was dank der neuen Auto-Update Funktion auch wirklich ein Kinderspiel ist.

    In diesem Zusammenhang wird allerdings häufig angeführt, dass dabei aber Probleme mit den verwendeten PlugIns und Themes entstehen. Dies stimmt nur in den seltensten Fällen und ist dann meist durch eine aktualisierte PlugIn Version behoben. Aber das führt gleich zum nächsten Sicherheitsaspekt: So viele Plugins wie nötig, aber so wenige wie möglich.

    Plugins sind eine feine Sache und ermöglichen es WordPress so vielfältig einzusetzen, wie es nur geht. Durch Plugins können Funktionen ergänzt und die Sicherheit verbessert werden. Doch Plugins bedeuten auch weiteren Code und stellen damit auch ein weiteres Sicherheitsrisiko dar. Es ist daher ratsam die Zahl der aktivierten Plugins möglichst gering zu halten und Plugins deaktiviert werden, wenn sie nicht mehr benötigt werden. Zu den nötigen und sinnvollen Plugins in einem späteren Teil dieser Reihe.

    Ein weiterer Punkt, der die Sicherheit einer eigenen WordPress Installation erhöht ist die Personalsierung von WordPress. Dazu gehört zunächst natürlich ein effektiver Passwortschutz der einzelnen Benutzer. Passwörter sollten also möglichst lang sein und Zahlen und Sonderzeichen enthalten. Dieses sollte man Anhand eines Passwortgenerators überprüfen (Mac OS X bietet diese Möglichkeit im Schlüsselbund oder ein Programm wie 1Password ist dazu auch geeignet). Daneben sollte man die Installation von WordPress anpassen. Dem Administrator sollte man am besten nicht den Kurznamen “admin” geben, wie WordPress dies standardmäßig tut. Außerdem sollte die Datenbankstruktur nicht dem klassischen  Schema “wp_TABELLENNAME” folgen, sondern vor dem Unterstrich individualisiert sein. Beides sind Punkte, die man am Besten direkt beim Anlegen des Blogs festlegt. Dieses bei einem laufenden Blog zu ändern, ist etwas schwieriger. Wie es doch geht, wird in einem späteren Teil dieser Reihe gezeigt.

    3. Sollte ich eine andere Blogsoftware einsetzen?

    Eine Alternative wäre es, eine andere Blogsoftware auf dem eigenen Server zu betreiben. Als solche nennenswert sind sicherlich Movabletype und ExpressionEngine. Beide entsprechen vom Funktionsumfang etwa WordPress und können daher als Alternative herangezogen werden, wenn man einen Wechsel der Software erwägt. Doch ist ein Wechsel wirklich sinnvoll? Schwerwiegende oder vermehrte Sicherheitsmängel und Angriffe sind in der Vergangenheit nur von WordPress bekannt, der Eindruck liegt daher nahe, das ein Wechsel zu mehr Sicherheit führt. Das ist jedoch ein Trugschluss. Hier kann man einen Vergleich zu den Betriebssystemen ziehen und etwa WordPress mit Windows und ExpressionEngine mit Mac OS X vergleichen. Auf Grund der Verbeitung und (dank der Plugins) größeren Angriffsfläche ist WordPress für Hacker ein attraktiveres Ziel, doch sind andere Blogsoftware davon nicht verschont. Sie enthalten ebenso Sicherheitslücken und Schwachstellen und auch dort ist die Gefahr eines Hackerangriffes nicht ausgeschlossen. Wer also kein Vertrauen mehr in WordPress hat, sollte sich konkurrierende Softwarelösungen anschauen, doch letztlich wird ein Wechsel kein mehr an Sicherheit bringen, gegenüber einer gepflegten und überwachten WordPress Installation.

    4. Ist es nicht besser auf einen Fullservice Blogdienst zu vertrauen?

    Sicherheit ist vor allem eine Frage der Wartung und der Kontrolle. Wer also einmal eine Blogsoftware auf seinem Webspace installiert hat und diese dann kaum wartet oder kontrolliert, der setzt sich einem entsprechenden Sicherheitsrisiko aus. Wer sich nicht großartig um Wartung und Kontrolle der Software kümmern will, der sollte über den Wechsel zu einem Blogdienst überlegen. Zum Fullservice dieser Dienste gehört in erster Linie die Wartung und Kontrolle des gesamten Systems. Der Blogger kann sich ganz auf das Bloggen konzentrieren und muss sich nicht groß um Sicherheit, Updates und Kontrolle kümmern. Er kann es auch nicht. Blogdienste gibt es wie Sand an mehr. Spontan fallen mir da Tumblr, Posterous, Blogger, Typepad, WordPress.com und Squarespace ein.

    Viele Dienste für die unterschiedlichsten Lösungen. Keines ist sicherlich so komplett und flexibel wie eine eigene WordPress Installation mit voller Kontrolle über Plugins und insbesondere das Aussehen des Blogs. Tumblr, Posterous und Blogger sind da eher für das schnelle Bloggen geeignet, während Typepad, WordPress.com und Squarespace wahrscheinlich bis zu 90% der Funktionen abdecken, die eine eigene WordPress Installation bietet, meist jedoch gegen Aufpreis. Hier stellt sich also die Frage, was will man sich die Sicherheit und den Fullservice kosten lassen. Auch auf diese Möglichkeit werde ich in einem späteren Teil der Reihe detailierter eingehen, da genau diese Frage mich persönlich für dieses Blog auch beschäftigt.

    5. Fazit

    WordPress ist eine gute und umfangreiche Blogsoftware. Die Sicherheitsrisiken sind nicht zu unterschätzen, sollten allerdings auf der anderen Seite auch nicht dramatisiert werden. Lücken und Hackerangriffe sind bei jeder Webanwendung vorhanden. Es bleibt also nur die Frage wie gut man sich persönlich davor schützen kann oder wem man diese Aufgabe überträgt. In einem zweiten Teil möchte ich auf sinnvolle Plugins hinweisen, die die Sicherheit fördern und auch welche Personalisierungen man im Detail machen sollte und wie das am Besten funktioniert. In einem weiteren Teil werde ich die Alternativen im Bereich der Blogdienste aufzeigen und welche Tücken/Vorteile ein Wechsel hat.

    6 Kommentare Schreibe einen Kommentar

    1. Nichts zu danken. Ist schließlich auch ein wichtiges Thema. Mit der Sicherheit von WordPress habe ich mich vor einiger Zeit schon mal etwas beschäftigt und parallel zu der aktuellen Wurmdiskussion, habe ich aus anderen Gründen angefangen zu überlegen, ob ich wirklich mit der selbstgehosteten Lösung wirklich gut bedient bin und hab angefangen mich schlau zu machen.

      Die Erkenntnisse aus beiden Recherchen mit anderen zu teilen ist da nur für alle hilfreich.

    2. Das WordPress auf dem aktuellsten Stand ist ist natürlich sehr wichtig (auch wenn es häufig nicht der Fall ist). Was man auch machen kann, ist, einfache Plugins und sein Theme selbst zu schreiben. Wenn man das vernünftig macht, hat man schonmal ein paar Schwachstellen weniger. Manche Blogs blenden auch einfach die WP-Version in den Metadaten aus. Aber ich denke Angreifer reagieren nicht nur auf das.

    3. Pingback: Sicher bloggen – Die Alternativen (Teil 2)

    4. Pingback: links for 2009-10-23 : Bibliothekarisch.de

    Hinterlasse eine Antwort

    Pflichtfelder sind mit * markiert.


    Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>