2228820

So machen Sie Ihre Wordpress-Installation sicher

04.11.2016 | 14:12 Uhr |

Die mit Abstand beliebteste PHP-Blogsoftware ist Wordpress, das vielerorts auch als Content-Management-System Verwendung findet. Die große Popularität macht Wordpress – und besonders dessen Plug-ins – zum beliebten Angriffsziel.

Während große Sites mit viel Verkehr meist auf maßgeschneiderte Lösungen auf der Basis von Django und Ruby und Rails setzen, ist Wordpress bei kleinen Webseiten die bevorzugte Lösung. Es ist nach einer Studie von W3techs im Sommer 2016 bei 26 Prozent der untersuchten zehn Millionen Sites im Einsatz.

Diese Popularität ist leicht erklärt: Wordpress setzt auf einem typischen Webserver wie Apache, My SQL sowie PHP auf, ist schnell eingerichtet und der PHP-Code ist vergleichsweise klar strukturiert. Die Entwickler-und Anwendergemeinde macht das Open-Source-Projekt zum Selbstläufer. Es gibt zahllose Themes und ein Plug-in-System, das Wordpress mit wenig Aufwand erweitert und für den anvisierten Einsatzzweck fit macht.

Diese Flexibilität hat aber ihren Preis, denn oft sind es diese Plug-ins aus der großen Entwicklergemeinde, die sich angreifbar zeigen und immer wieder Sicherheitslücken in eine Wordpress-Installation reißen.

https://wpvuln db.com ist eine Datenbank bekannter Sicherheitslücken in Wordpress.
Vergrößern https://wpvuln db.com ist eine Datenbank bekannter Sicherheitslücken in Wordpress.

Updates: Auf dem Laufenden bleiben

Zur Pflege einer Wordpress-Site gehört nicht nur die regelmäßige Aktualisierung der Kernkomponenten, sondern auch ein akribischer Check der Erweiterungen. Wordpress selbst bekommt seitens seiner Entwickler häufig Aktualisierungen: 2016 gab es im Januar, Februar und Mai Sicherheitsupdates. Die Verwaltungskonsole von Wordpress informiert nicht nur über neue Versionen, sondern kann diese auch einspielen. Seit Wordpress 3.7 gibt es eine automatische Aktualisierungsfunktion innerhalb von Versionsnummern. Nur größere Versionssprünge warten dann noch auf die manuelle Genehmigung, beispielsweise von 4.4 zu 4.5.

Tipp: Wer nicht regelmäßig die Administrationsoberfläche von Wordpress aufsucht, kann über den RSS-Feed https://wordpress.org/news/feed über neue Wordpress-Versionen auf dem Laufenden bleiben.

Themes und Plug-ins nicht vergessen

Zügige Updates gibt es bei fremden Wordpress-Komponenten nicht immer. Eine schlecht gewartete Kollektion von fremdem PHP-Code ist neben groben Konfigurationsfehlern die Hauptursache für Einbrüche in Wordpress. Im Juni 2016 machte beispielsweise eine kritische Lücke im WP Mobile Detector über 10.000 Wordpress-Sites verwundbar – und ein Sicherheitsupdate für dieses Plug-in gab es nicht. Es blieb den vielen Betroffenen nur, das Plug-in so schnell wie möglich zu deinstallieren.

Zwar zeigt die Wordpress-Verwaltungsoberfläche auch an, wenn es Updates für installierte Plug-ins gibt, das aber nur dann, wenn deren Entwickler tätig werden. So ist es nicht einfach, zu Schwachstellen in schlecht gepflegten Plug-ins und Themes rechtzeitig Informationen zu finden. Dieses Manko will die Online-Datenbank https://wpvulndb.com beheben. Es handelt sich dabei um ein laufend aktualisiertes Nachschlagewerk zu Sicherheitslücken in Wordpress selbst, in Plug-ins und Themes.

WP Scan untersucht Wordpress auf alle Sicherheitsprobleme und dokumentiert sie.
Vergrößern WP Scan untersucht Wordpress auf alle Sicherheitsprobleme und dokumentiert sie.

Automatischer Check per Script

Die Datenbank der Wordpress-Sicherheitslücken entstand aus einem älteren Projekt: WP Scan ( http://wpscan.org ) ist ein Ruby-Script, das einen automatischen Check von Wordpress-Installationen von einem Client aus über HTTP erlaubt und bekannte Sicherheitslücken findet. Die Dokumentation unter https://github.com/wpscanteam/wpscan/blob/master/README.md liefert auch Installationsanleitungen für Ubuntu, Debian, Fedora und Arch Linux. In Ubuntu 16.04 und Co. installieren Sie in einem Terminalfenster mit

sudo apt-get install git libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-es sential libgmp-dev zlib1g-dev

zunächst die benötigten Abhängigkeiten. Dann laden Sie mit dem Befehl

git clone https://github.com/wp scanteam/wpscan.git

das Programm von Github in das Verzeichnis „wpscan“ herunter. Nach einem Wechsel in dieses Verzeichnis mit cd wpscan installiert das Kommando

sudo gem install bundler && bundle install --without test

die weiteren Ruby-Module (Ruby-Gems) nach und macht WP Scan einsatzbereit:

./wpscan.rb --update

Dies aktualisiert die interne Datenbank vor dem ersten Aufruf. Einen umfassenden Scan von Wordpress, Plug-ins und Themes auf Ihrem Zielserver mit der Adresse „[Domain]“ starten Sie folgendermaßen:

./wpscan.rb --url http://[Domain]/ --random-agent --enumerate

Nur die Plug-ins überprüft dagegen dieses Kommando:

./wpscan.rb --url http://[Domain]/ --random-agent --enumerate p

Ein Scan kann einige Minuten dauern; die Ergebnisse werden im Terminalfenster hübsch aufbereitet angezeigt –mit Links zu Problembeschreibungen.

So wehren Sie Brute-Force-Angriff ab

0 Kommentare zu diesem Artikel
2228820