2082645

Wordpress-Sicherheitslücken schließen - so geht's

18.06.2015 | 12:09 Uhr |

Eines der beliebtesten PHP-Projekte ist Wordpress. Die enorme Popularität macht Wordpress und besonders seine Plug-ins zu lohnenden Angriffszielen. Wer Wordpress betreibt, sollte es regelmäßig auf Lücken prüfen.

Wordpress hat sich für Blogs und Online-Portfolios und sogar als kompaktes Content-Management-System für kleinere Sites bewährt. Die Marktforscher von W3Techs gehen nach Hochrechnungen ihrer monatlichen Auswertung der zehn Millionen Top-Sites davon aus, dass Wordpress einen Marktanteil von 23 Prozent unter den Content-Systemen hat (Stand: März 2015). Die Popularität von Wordpress gegenüber anderen PHP-Projekten erklärt sich leicht: Wordpress ist Open Source und läuft ohne besondere Voraussetzungen auf einem typischen Linux-Server mit Apache My SQL und PHP. Wordpress wirbt mit einer Fünf-Minuten-Installation, sein PHP-Code ist vergleichsweise klar strukturiert und seit den Anfangszeiten der Software gut dokumentiert. Die Tatsache, dass es relativ einfach zu nutzen ist, hat aber auch einen Nachteil: Den Benutzern von Wordpress fehlt es oft am Sicherheitsbewusstsein.

PC-WELT-Download: WordPress

Einfallstor: Plug-ins und Themes

Wordpress wird von seinen Entwicklern oft aktualisiert, die zeitnah auf Sicherheitslücken und Bugs reagieren. 2015 gab es bereits ein Update auf die Version 4.1.1 mit Fehlerbehebungen. Gravierende Sicherheitslücken treten in Wordpress seltener auf, zuletzt gab es im November 2014 mit Version 4.0.1 ein kritisches Update. In der Verwaltungsoberfläche informiert stets ein Hinweis über neue Versionen, die sich auf Standardinstallationen sogar über eine automatische Update-Funktion einspielen lassen. Soweit ist Wordpress hier vorbildlich. Wer außerhalb der Verwaltungskonsole von Wordpress über wichtige Aktualisierungen informiert werden will, kann dazu übrigens den Feed https://wordpress.org/news/feed abonnieren.

Die aktive Community macht das Projekt zum Selbstläufer, denn es gibt Themes und ein Plug-in-System, das Wordpress mit wenig Aufwand aus einem Fundus von rund 20 000 Plugins erweitern kann. Genau diese Flexibilität, die Wordpress mit Themes und Plug-ins von Fremdanbietern gewinnt, schlägt aber immer wieder Sicherheitslücken in Wordpress-Installationen. Ein Check aller Erweiterungen und sogar Themes auf der eigenen Wordpress-Site ist deshalb Pflicht.

Lesetipp: Die wichtigsten CMS-Varianten im Überblick

Übersicht: Datenbank der Sicherheitslücken

Bei den Plug-ins und fremden Themes gibt es zügige Updates nicht immer, und die Auto-Update-Funktion von Wordpress kümmert sich nicht um Erweiterungen. Eine schlecht gewartete Kollektion von fremden PHP-Code ist neben groben Konfigurationsfehlern die Hauptursache für Einbrüche in Wordpress. Das letzte prominente Beispiel in der Reihe angreifbarer Plug-ins war Ende Februar 2015 die Erweiterung „WP-Slimstat“, welche Besucherzahlen für Statistiken auswertet. Eine mangelhafte Chiffrierung der gesammelten Benutzerdaten beim Schreiben in die Wordpress-Datenbank machte das Plug-in anfällig für SQL-Injections und gefährdete die gesamte Wordpress-Installation.

Zweischneidiges Schwert: Eine gut gepflegte Datenbank zu Lücken von Wordpress, Themes und Plug-ins hilft nicht nur Wordpress-Betreibern, sondern auch den Angreifern.
Vergrößern Zweischneidiges Schwert: Eine gut gepflegte Datenbank zu Lücken von Wordpress, Themes und Plug-ins hilft nicht nur Wordpress-Betreibern, sondern auch den Angreifern.

Eine Überprüfung, ob eine der aktiven Erweiterungen bekannte Sicherheitslücken hat, gestaltete sich bisher schwierig, da es keine zentrale Stelle gab, die Lücken systematisch sammelt. Der Sicherheitsspezialist Ryan Dewhurst startete deshalb vor einigen Monaten die Online-Datenbank https://wpvulndb.com . Es handelt sich dabei um ein laufend aktualisiertes Nachschlagewerk zu Sicherheitslücken in Wordpress selbst, in Plug-ins und Themes. Mittlerweile ist diese englischsprachige Datenbank das ergiebigste Werkzeug, um die verwendeten Plugins auf bekannte Anfälligkeiten zu prüfen: Geben Sie dazu im Suchfeld rechts oben den Namen des Plug-ins oder Themes ein. Die Resultate liefern, falls vorhanden, eine chronologische Liste der bekannten Lücken. Ein Klick auf einen Eintrag bietet Details wie die verwundbare Version, die Versionsnummer, die das Problem behebt, sowie Links zu Artikeln mit Erläuterungen zur Sicherheitslücke.

Datenbanken dieser Art sind aber ein zweischneidiges Schwert: Einerseits ist https://wpvulndb.com eine legitime Hilfe für Wordpress-Betreiber, Sicherheitslücken zu finden oder Hintergründe in Erfahrung zu bringen. Andererseits finden hier auch Angreifer ohne großen Aufwand viele verwertbare Informationen zu Lücken auf schlecht gewarteten Wordpress-Sites. Wie auch immer man den Nutzen dieser Datenbank sieht: Es muss jedem klar sein, dass solche Datenbanken die Pflicht forcieren, möglichst zeitnah auf Lücken zu reagieren.

Lesetipp: Mein eigener Wordpress-Blog

Eine noch schärfere Klinge: Wpscan findet erstaunlich zuverlässig auch auf vielen zunächst sicher geglaubten Wordpress-Installationen potenzielle Probleme.
Vergrößern Eine noch schärfere Klinge: Wpscan findet erstaunlich zuverlässig auch auf vielen zunächst sicher geglaubten Wordpress-Installationen potenzielle Probleme.

Per Script: Automatischer Check

Vom Betreiber der Datenbank gibt es seit längerem auch das Script Wpscan, das einen Wordpress-Server systematisch von Clients aus auf Sicherheitslücken abklopft. Das Script ist in Ruby geschrieben und benötigt einige zusätzliche Ruby-Module, die es aber auf den meisten Linux-Distributionen in deren Paketquellen gibt. Die Einrichtung ist zwar anspruchsvoller als eine manuelle Suche in der Vulnerability Database, erlaubt aber einen automatischen Check nach übersehenen Sicherheitslücken. Um Wpscan ( http://wpscan.org ) in Ubuntu 14.04/14.10/15.04 auszuführen, installieren Sie in einem Terminal-Fenster erst mit

sudo apt-get install git zlib1g-dev libcurl4-gnutls-dev libxml2 libxml2-dev libxslt1-dev rubydev build-essential

die benötigten Pakete und laden dann das Ruby-Script direkt von Github über den Befehl

git clone https://github.com/wpscanteam/wpscan.git

herunter. Gehen Sie dann mit

cd wpscan

in das neu angelegte Verzeichnis „wpscan“, wo Sie mit

sudo gem install bundler && bundle install --without test

die weiteren Ruby-Module nachinstallieren. Anschließend ist Wpscan einsatzbereit.

Andere Linux-Systeme: Aufgrund abweichender Paketnamen weicht der Einrichtungsweg auf verschiedenen Distributionen ab. Die Dokumentation unter https://github.com/wpscanteam/wpscan/blob/master/README.md liefert aber auch Installationsanleitungen für Debian, Fedora und Arch.

Ist eine Installation nicht möglich, dann hilft das Live-System Kali Linux 1.1.0 weiter (Download unter https://www.kali.org , 3 GB), wo Wpscan bereits vorinstalliert ist.

Bevor Wpscan einen aussagekräftigen Scan durchführen kann, müssen Sie dessen Datenbank mit

./wpscan.rb --update

aktualisieren und dies auch später gelegentlich wiederholen. Einen umfassenden Scan von Wordpress, Plug-ins und Themes auf der Adresse „[Domain]“ startet dann dieser Befehl:

./wpscan.rb --url http://[Domain]/ --random-agent --enumerate

Nur die Plug-ins überprüft dieses Kommando:

./wpscan.rb --url http://[Domain]/ --random-agent --enumerate p

Der Scan kann einige Minuten dauern. Die Ergebnisse werden hübsch aufbereitet mit Links zu Problembeschreibungen im Terminal-Fenster angezeigt.

Lesetipp: Fünf schnelle Tipps für Ihren eigenen Wordpress-Blog

0 Kommentare zu diesem Artikel
2082645