Schweizer WordPress Magazin » Sicherheit

Pluginize.com – Plugins nach Mass

Pascal Birchler — Thu, 02 Sep 2010 07:00:30 +0000

Trotz über 11'000 Plugins im offiziellen Verzeichnis kann es manchmal vorkommen, dass eine gewisse Funktionalität so noch nicht als Plugin umgesetzt wurde. Man könnte dies jetzt zwar selber programmieren, doch wenn man keine Zeit oder nicht die Fähigkeit dazu besitzt, ist dies etwas schwieriger. Deshalb hat WordPress-Entwickler und Buch-Autor Brad Williams den Dienst Pluginize.com ins Leben gerufen, wo man sich ein Plugin nach Mass erstellen lassen kann.

Pluginize.com - Plugins nach Mass

Funktionsprinzip

Sobald man eine Idee für ein komplett neues Plugin hat oder ein bestehendes Plugin erweitern möchte, kann man sich auf Pluginize.com genauer darüber informieren.

Die Anpassung eines bestehenden Plugins kostet mindestens 100 Dollar, ein neues Plugin 250 Dollar und aufwärts. Das Team rund um Williams sorgt dafür, dass das Plugin sauber und mit vielen Features programmiert wird. So gehören die Unterstützung von mehreren Sprachen, eine Deinstallations-Funktion und eine Sicherheitsüberprüfung zum Standardumfang. Was uns aber am besten gefällt: Die Plugins sind 100% GPL und werden ins WordPress Plugin-Verzeichnis hochgeladen. So tut man auch etwas Gutes für die Community, die so ein Plugin vielleicht auch gerne hätte.

Fazit

Wenn man auf die Schnelle ein sauber programmiertes WordPress Plugin benötigt, lohnt es sich sicher, einmal einen Blick auf Pluginize.com zu werfen. Auch wenn wir den Dienst nicht getestet haben, so denken wir, dass man ihn ruhigen Gewissens ausprobieren kann.

WordPress 2.6.5 im Detail

Pascal Birchler — Tue, 25 Nov 2008 18:25:48 +0000

Heute Abend wurde eine neue WordPress Version veröffentlicht: 2.6.5 ist in keinster Weise mit sichtbaren Änderungen verknüpft, sondern stopft zwei XSS-Lücken und korrigiert zwei Funktionen.

Note that we are skipping version 2.6.4 and jumping from 2.6.3 to 2.6.5 to avoid confusion with a fake 2.6.4 release that made the rounds. There is not and never will be a version 2.6.4.

Zur Erklärung: Vor kurzem ist eine gefakte WordPress Website aufgetaucht, welche absichtlich eine neue WordPress Version (2.6.4) angepriesen hat, um an die Zugangsdaten der Benutzer heranzukommen.

Da diese Version keine Änderungen an der deutsch Sprachversion mit sich bringt, kann man sie auch getrost bei der offiziellen Website herunterladen und nur die geänderten Dateien auf den Server hochladen.

Achtung: Fake WordPress Website im Netz aufgetaucht

Pascal Birchler — Thu, 06 Nov 2008 19:23:14 +0000

Via BloggingTom und WeblogToolsCollection bin ich gerade auf eine sehr wichtige Meldung aufmerksam geworden: Im Netz gibt es eine nahezu identische Kopie der offiziellen WordPress.org Website. Es wurde lediglich das letzte s durch ein z ersetzt. Diese Website ist Teil einer hinterhältigen Masche:

Durch eine momentan unbekannte Hintertür wurde im Dashboard von vielen WordPress Blogs angezeigt, es gäbe eine neue WordPress Version 2.6.4. Dem ist nicht so! Das Ganze ist nur ein Fake, womit man auf die gefälschte Website und somit zum Download gelangt.

Eine kurze Stellungsnahme durch Sophos zur Meldung von Craig Murphy lautet wie folgt:

“Craig talks about how when he logged in to his admin account in WordPress he received a “High Risk Vulnerability Warning” from a spoofed WordPress domain. (The last ’s’ in WordPress.org has been replaced by a ‘z’.) The Warning suggests upgrading to the ‘new’ version 2.6.4 of WordPress. Downloading this ‘new’ version of WordPress I found that of the 638 files in version 2.6.4, 637 were identical to the same files in the official 2.6.3. The only difference was in the file pluggable.php. The hacked version of the file pluggable appears to be stealing the content of cookies on larger installations of WordPress. Sophos are now detecting this file as Troj/WPHack-A.”

Mit anderen Worten: Im Dashboard wird überdeutlich auf eine neue und offiziell nicht existierende Version hingewiesen, die eine Sicherheitslücke beheben soll. Wer das Paket herunterlädt, ladet im Prinzip aber nur WordPress 2.6.3 herunter. Mit der Ausnahme, dass die Datei pluggable.php modifiziert wurde und die Cookies der angemeldeten Benutzer zur gefakten Website schickte. So konnte der Bösewicht Zugang zu Blogs erhalten.

Zur Verdeutlichung und zum besseren Verständnis ein paar Screenshots:

Newsletter Plugin mit Sicherheitslücke

Pascal Birchler — Fri, 24 Oct 2008 15:40:13 +0000

Heute gab es mal wieder ein bisschen Lärm in der WordPress Szene, weil 2.6.3 erschienen ist um eine Sicherheitslücke zu beheben. Zwar sei diese nicht so verheerend, aber sicher ist nunmal sicher!

Angriffe auf WordPress

Doch auch eine andere Meldung macht die Runde: Wie ich im TecChannel gelesen habe, ist das kostenpflichtige WordPress Newsletter Plugin nicht ausreichend gegen eine SQL Injection geschützt. Die Datei stnl_iframe.php überprüft die Eingaben nicht ausreichend, wodurch es einem Angreifer leicht fällt, an Benutzernamen, Passwort-Hashes, E-Mail Adressen, etc. zu gelangen.

Aktuell ist keine bereinigte Version erhältlich, doch man soll es laut Aussage von TecChannel selber im Quellcode machen können. Weitere Hinweise oder sogar eine Anleitung habe ich aber leider nicht gefunden.

Wieso ein WordPress Update so wichtig ist

Pascal Birchler — Mon, 15 Sep 2008 11:38:10 +0000

Heute werde ich euch an einem aktuellen Beispiel zeigen, wieso man WordPress immer aktuell halten sollte - auch wenn es auf den ersten Blick unnötig erscheint.

BloggingTom, unser Cyberspace-Spezialist, hat wieder einmal zugeschlagen und schädlichen Code in einem Blog von Radio 24 entdeckt. Doch wie konnte das passieren? Wer vielleicht an Unachtsamkeit seitens der Betreiber denkt, liegt falsch. Grund ist eine veraltete WordPress Version (2.1.3). Im Quelltext findet man dann auch unzählige Zeilen Spamlinks sowie ein heimtückisches Javascript.

Wer das Weblog besuchte, wurde Opfer einer fiesen Installation der Software “Windows Antivirus 2008?. Das Tool installiert sich automatisch durch Sicherheitslücken im Browser und gaukelt dem Benutzer haufenweise Virenwarnungen und Systemfehler vor.
Um die Fehler zu beseitigen, müsse man die Vollversion erwerben. Das Ziel könnte sein, die Kreditkarteninformationen zu missbrauchen oder einfach nur das Geld zu erhalten. Wer weiss, wie lange das schädliche Skript schon im Blog sein Unwesen treibt! Zum Glück wurde die böse Domain, auf der das Skript angepriesen wurde, vom Domainregistrar vorläufig gesperrt.

So meint BloggingTom dann auch, wie wichtig es ist, die Blogsoftware aktuell zu halten. Radio 24 scheint dies nicht so ernst zu nehmen, da sie mit 2.1.3 eine veraltete und durch ihre Sicherheitslücken bekannt gewordene Version verwenden. Da liegt der Verdacht nahe, dass die Codes und Spamlinks durch das Ausnutzen der Sicherheitslücken eingeschleust wurden.

Weitere Recherchen meinerseits ergaben keine weiteren schädlichen Codes, auch eine Registrierung als Subscriber brachte keine Resultate. Das oben genannte Blog ist ausserdem das einzige infizierte, obwohl alle Blogs auf WordPress 2.1.3 basieren. Ich kann euch nur raten, aktuelle WordPress Versionen zu installieren und regelmässig zu updaten.

Update 20. September 2008: Die Blogs von Radio 24 wurden jetzt alle geschlossen, der Link oben funktioniert also nicht mehr!

Sicherheits-Release: WordPresss 2.6.2

Pascal Birchler — Tue, 09 Sep 2008 07:47:26 +0000

Wer bisher auf WordPress 2.6 verzichtet hat, sollte schleunigst auf die neuste Version 2.6.2 updaten, falls sich in deinem Blog jeder beliebige Besucher registrieren kann. Grund dafür sind zweu grosse grosse Sicherheitslöcher, die SQL Column Truncation und die nicht ganz so richtig funktionierende Funktion mt_srand(), die in WordPress 2.6.2 behoben wurden. Wie wir das Team von WordPress Deutschland kennen, haben sie darüber schon gestern um 22:00 Uhr berichtet und bestimmt noch im Verlauf der nächsten Stunden eine übersetzte Version nachliefern. Hut ab!

Man kann davon ausgehen, dass mt_srand() auch bei anderen, vielleicht auch selbst gemachten, Web-Applikationen zum Einsatz kommt. Das sollte man nach Möglichkeit auch rasch beheben!

Neben den Sicherheits-Fixes in 2.6.2 gibt es auch viele kleinere Bug Fixes. Hier findest du die Liste aller geänderten Dateien.

Ps. TinyMCE Rechtschreibprüfung hat ein paar Macken.

Effektive Sicherheit in WordPress

Pascal Birchler — Sat, 16 Aug 2008 14:40:47 +0000

Bei WordPress dreht sich vieles um die Sicherheit, da es in der Vergangenheit immer wieder Lücken im Programmcode gab, durch die man ungehindert in ein Blog eindringe konnte. Natürlich ist ein Programm nie perfekt, aber gerade bei WordPress kann man dank einigen Hilfsmitteln ein sehr sicheres System erhalten.
Und bekanntermassen sind Plugins der einfachste Weg, WordPress zu verändern. Einige Plugin-Autoren haben sich besonders ins Zeug gelegt, um WordPress effektiv sicherer zu machen.

Nicht zu vergessen: Wenn WordPress nicht alleine auf dem Server ist, lohnt es sich, andere Software ebenso auf Sicherheitslöcher zu überprüfen, weil dadurch WordPress auch geschädigt werden könnte.

Hilfsmittel und Plugins

BlogSecurity / WP Scanner

Ein Plugin allein kann längst nicht alles. Deshalb beginne ich hier auch mit einem aussenstehenden Sicherheits-Werkzeug. Es nennt sich WP Scanner und stammt von BlogSecurity, wo regelmässig auch Sicherheitslücken von WordPress und dessen Plugins (WP Contact Form Plugin) aufgedeckt werden. Um das eigene Blog zu scannen, muss lediglich dieser Kommentar in die header.php eingefügt werden:

WP Scanner starten

Blogwatch (Sicherheitslücken in WordPress)

WP Security Scan

Dieses Plugin prüft einerseits die Passwortstärke und Dateirechte (chmod) und verschleiert andererseits die Versionsnummer im Quellcode. Aber das ist noch nicht alles, in Zukunft soll auch Cross Site Scripting verhindert werden.

Zum Download

Anonyme WordPress Plugin Updates

Dank diesem kleinen Leckerli ist es möglich, die Informationen zu verschleiern, die normalerweise beim automatischen Plugin Update an WordPress.org gesendet werden. Das betrifft die URL, die Versionsnummer und die Liste aller aktiver Plugins. Für Sicherheits-Freaks mit Abstand die beste Lösung!

Zum Download

BackUpWordPress

Bestimmt kennst du den Spruch "Backup early, Backup often". Nun, mit genau diesem Plugin lassen sich diese Wort in die Tat umsetzen. Alleine im EasyMode lässt sich praktisch alles einrichten, was man für optimale Backups braucht. Noch besser: Nicht nur die Datenbank, sondern gleich die ganze Ordnerstruktur wird gesichert.

Zum Download

AskApache Passwortschutz

Mit diesem Plugin lassen sich alle Verzeichnisse wie wp-admin/ und wp-content/ durch .htaccess und .htpasswd Dateien schützen. Keine Angst, das Passwort muss man nur einmal eingeben, dafür ist WordPress dann auch richtig gut geschützt!

Zum Download

WP Introdusion Detection System

WP Introdusion Detection System, kurz WPIDS, schützt WordPress vor schädlichen Code Injections und ist auf dem bekannten PHPIDS aufgebaut. Jeder verdächtige Seitenaufruf wird in der Datenbank gespeichert und - falls gewünscht - per E-Mail an den Administrator gesendet. Zusätzlich können Angreifer für eine gewisse Zeit ausgesperrt werden, was bestimmt die nützlichste Funktion ist, die dieses Plugin zu bieten hat.

Zum Download

Login LockDown

Login LockDown macht nichts weiter, als IP-Adressen und Timestamp bei fehlgeschlagenen Anmeldeversuchene zu speichern. Nach einer gewissen Anzahl Fehlversuchen einer einzelnen IP wird die Login-Funktion abgeschaltet und der Angreifer hat keine Chance mehr.

Zum Download

Sicherheitsplugins im Dreierpack

Das Weblog Herself's Webtools hat gleich drei hervorragende WordPress Plugins geschrieben:

Bot Block Plugin - Domains, Email- und IP-Adressen von der Registration ausschliessen.
WordPress Security Plugin - Eine optimale Ergänzung zum WP Security Scan. Blockiert Cross Site Scripting und bietet eine Blacklist um Useragents und IP-Adressen von verdächtigen Bots auszusperren.
Tripwire Plugin - Zeigt alle Dateien an, die in den vergangenen x Tagen geändert wurden, wobei man x selbst definieren kann.

Zum Download aller Plugins (einzeln)

Weiterführende Links

Bloggonaut.net

Pascal Birchler — Thu, 10 Jul 2008 09:25:16 +0000

Seit April 2008 bloggt Andreas Ruppert täglich über technischen Krimskrams, Web 2.0, SEO und WordPress. Nach dieser kurzen Zeit kann er bereits 84 Personen zu seinen Feedabonnenten zählen. Und dies hat auch seinen Grund. Der Untertitel "kompetent abgetaucht" trifft völlig zu. Kompetente Beiträge, die nicht nur an der Oberfläche des Themas kratzen, sind selbstverständlich. Und ich zeige euch heute mal, wie Andreas über WordPress-Themen berichtet.

10 Tipps für die Wahl des richtigen WordPress Themes - Schon von Anfang an ist das Design des Blogs entscheidend, ob man Erfolg hat oder nicht. Fragen Sie sich: Habe ich wirklich das richtige Theme installiert?
Artikel in WordPress hervorheben. (HowTo) - Falls Sie schon immer der Meinung waren, Ihre Artikel muss man einfach lesen, diese aber schon tief im Archiv versteckt sind, können Sie sie mit einem kleinen PHP Code wieder hervorholen.
WordPress absichern. - Ein kurzer Einblick in die Welt der (un)möglichen Möglichkeiten und Unmöglichkeiten. Kurz am Rande: Es gibt Sicherheitsplugins und weitere wichtige Tipps im sicheren Umgang mit der Blog Software. Durchsuchen Sie einfach das WordPress Magazin.

Kleiner Hinweis: So schnell Bloggonaut entstanden ist, so schnell wurde es auch wieder verkauft.

WP Security Scan Plugin

Pascal Birchler — Wed, 23 Apr 2008 15:00:03 +0000

WP Security Scan kann jetzt schon viele Dinge und wird in Zukunft noch mehr können. Es sorgt für die nötige Sicherheit in WordPress und bietet viele interessante Eigenschaften. In Zukunft plant der Autor noch weitere Features. Ein Auszug der Plugin-Seite:

passwords
-file permissions
-database security
-version hiding
-WordPress admin protection/security -removes WP Generator META tag from core code

Future Releases
*one-click change file/folder permissions
*test for XSS vulnerabilities
*intrusion detection/prevention
*lock out/log incorrect login attempts
*user enumeration protection
*.htaccess verification
*doc links

So können Sie beruhigt und ohne schlaflose Nächte bloggen. :D

WordPress 2.5 Tipps und Bugs

Pascal Birchler — Sat, 19 Apr 2008 13:00:33 +0000

Viele haben sich getraut, auf WordPress 2.5 zu aktualisieren. Ein guter Schritt, wären da nicht die Tücken der Neuheiten. Wie bei der Zeitumstellung muss man sich an die Veränderung gewöhnen. Einerseits freut man sich darauf, andererseits ist es nervig und man wünscht sich das Alte zurück. Aber WordPress 2.5 ist nun mal ein Meilenstein.

Für Spätumsteiger: Sicherheitslücken hinter sich lassen

Auch wenn WordPress 2.3 noch relativ sicher erscheint, eine ziemlich böse Sicherheitslücke lässt sich rasch ausnutzen. Ich rede hier vom "wp-content/1/"-Bug. In diesem Ordner finden sich böse Dateien, die verheerende Folgen haben, den Traffic durch unzählige Trackbacks ansteigen lassen und Besucher, die via Google auf die Seite stossen, damit abschrecken, dass die Website unsicher sei. Die Anzahl infizierter Blogs ist erschreckend: Google findet 39'900 Seiten mit dem Ordner "wp-content/1/".

Man sollte unbedingt den Ordner löschen und das Administratorpasswort ändern.

Weitere Artikel zu dieser Sicherheitslücke:

Technorati vs. infizierte Weblogs

Technorati stellt sich gegen Blogs, die Opfer von Spam-Attacken und Hacker-Angriffen wurden oder immer noch sind. Wer also ein infiziertes Blog hat, sollte nicht nur dafür sorgen, dass der Spam verschwindet, sondern auch updaten. Weil jeder, der sein Blog nicht aktualisiert, Ziel dieser Angriffe werden kann, muss man dies schon fast zwingend tun. Somit kann man sagen: Technorati will, dass wir updaten.

Nachzulesen in folgenden Artikeln:

Für WordPress 2.5 Nutzer: Auch hier gibt es Sicherheitslücken

Anders als ein Aprilscherz ist diese Sicherheitslücke sehr ernst zu nehmen. Wer mehr über die Bedrohung, dass der Sicherheitsschlüssel nicht angegeben ist, wissen will, besucht eine tolle Website zum Thema WordPress:

TalkPress.de - Sicherheitslücke in WordPress 2.5

TalkPress stellt auch gleich einen Keygenerator zur Verfügung, der gültige Schlüssel für die wp-config.php Datei erzeugt.