WordPress: Attacken und Malware

Seit einiger Zeit wird vermehrt von Angriffe auf Blogsystem mit WordPress berichtet. Verbreitet waren zum einen sogenannte „iframe-Virus“, welche iframes plazierten und so entweder nur Traffic und Klicks simulierten, aber manchmal auf Zugangsdaten erspähen. Zur Zeit ist hingegen eine Malware im Umlauf, die schon vor einem Monat für Schlagzeilen gesorgt hat (Quelle) und einige PHP-Schwächen ausgenutzt hat. Nun soll angeblich eine ähnliche zweite Welle unterwegs sein. Wer Sorge hat, dass seine Webseite betroffen sein sollte kann unter folgendem Weblink einen kostenlose Test durchführen: http://sucuri.net/Übersichtlich werden dort einige wichtige Aspekte beleuchtet: Zum einen die angesprochenen iframes, Malware uvm. Es sei aber angemerkt, dass dieses Vorgehen keine 100% Sicherheit liefert und außerdem spätere Attacken nicht verhindert. Deshalb habe ich auf meinem Worpress-Blog seit geraumer Zeit zwei Plugins im Einsatz die ich jedem nur ans Herz legen kann.

Das erste Plugin heißt Better WP Security und der Schwerpunkt liegt hier auf der Absicherung der WordPressinstallation. Allerdings muss man aufpassen was man einstellt und sollte die Finger lieber davon lassen, wenn man keine Ahnung besitzt, wofür die Einstellungen überhaupt gut sind. Anderenfalss hat man sich schnell komplett ausgeperrt und gelangt gar nicht mehr auf die Adminoberfläche. Einstellungen sind z. B. die Umbenennung des SQL-Tabellen-Präfixes sowie des Adminusers, das Vorraussetzen sicherer Kennwörter für User, das Einschränken der zeitlichen Erreichbarkeit der Adminoberfläche uvm.

Bei dem anderen Plugin handelt es sich um BulletProof Security und dieses konzentriert sich auf einzig und alleine auf die Pflege und Verwaltung der „.htaccess“-File um so einen Schutz gegen XSS, RFI, CRLF, CSRF, Base64, Code Injection und SQL Injection zu bieten und diese abzufangen. Hierbei wird sich nicht nur auf das root-File beschränkt, sondern auch noch die nötige Versionen im wp-admin-Ordner konfiguriert. Fortlaufende Updates garantieren ein gewisses Maß an Sicherheit für den WordPressblog und – vor allem – für die dahinter liegende Datenbank.  Manuelle Änderungen an der „.htaccess“-File sind übrigens weiterhin möglich und werden auch bei Updates berücksichtigt, so das auch z. B. kürzlich bekannt gewordene PHP-Lücke (heise-online), auf diesem Weg gut abgefangen werden konnte.

Das könnte Dich auch interessieren...

9 Antworten

  1. Milan sagt:

    Jap, da kann ich mich meinen Vorrednern nur anschließen.

    LG Milan

  2. Peter sagt:

    Das finde ich auch. Wirklich sehr viel hilfreiche Tips. Danke!

  3. Danke für das Feedback an euch Beide! WordPress lebt wie gesagt von der Vielfalt von Plugins. Allerdings ist das auch gleichzeitig die große Schwäche, da einige „Entwickler“ Plugins anbieten ohne Kenntnis von Sicherheitsschwachstellen und damit ein Scheunentor in WordPress aufreißen. Die im Artikel genannten beiden Plugins beheben diesen Umstand allerdings und sichern die WordPress-Instanz und damit die dahinter liegende SQL-Datenbank ab.

  4. Mark sagt:

    Großartig!! Das habe ich gesucht!!!!!

  5. Anonymous sagt:

    Ich finde die Attacken werden auch immer schlimmer, trotz Schutz gibt es immer mehr Nieschen, die ausgenutzt werden. Aber der Artikel macht Mut. THX!

  6. Definitiv. Mir hat es schon das ein oder andere mal geholfen. Wenn ich mir anschau wie viele „Admin“-Loginversuche ich habe ist das schon teilweise erschreckend. Selbiges gilt für Versuche SQL-/ oder PHP-Schwächen auszunutzen. 🙂

  7. Maik sagt:

    definitiv hilfreich! Beide Daumen hoch!

  8. mkreykenbohm sagt:

    Toller Artikel, Danke für die Hinweise! 🙂

  1. 7. Mai 2014

    […] würde ich immer diesen kostenlosen Service von sucuri.net bevorzugen über den ich bereits berichtet habe. Welcher dienst “besser” ist werde ich aber dennoch irgendwann noch einmal […]

Schreibe einen Kommentar zu Anonymous Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.