Mit dem Google Authenticator WordPress Plugin kann man diese Sicherheitslösung auch für sein eigenes Blog aktivieren. Es erlaubt die Nutzung auf Nutzerbasis, sodass beispielswiese auch nur der Admin-Account doppelt geschützt wird, andere User sich hingegen wie bisher anmelden können.

Gemäss Plugin-Autor und den Kommentaren bisheriger User gibt es noch ein paar kleiner Probleme, die unter Umständen auftreten können. So soll etwa die Anmeldung fehlschlagen, wenn die Zeit auf dem Server und dem Mobiltelefon stark variieren.

Für weitere Informationen, wie das Ganze hinter den Kulissen aussieht, kann man die Google Authenticator Projektseite besuchen. Dort findet man auch die Links zu den jeweiligen Smartphone Apps.

Gravierende Sicherheitslücke erlaubt Ausführung von Schadcode

In eben diesem TimThumb Script exisitiert nun eine Sicherheitslücke, mit der man beliebige PHP Dateien in dessen Cache-Verzeichnis einschleusen und ausführen kann. Das bedeutet praktisch ungehinderten Zugriff auf alle WordPress-Dateien, die Datenbank, FTP und sogar die Kommandozeile!

Alucar Shell

TimThumb führt nur eine mässige Kontrolle der erlaubten Bild-URLs durch, weshalb das Script eine leichte Beute für Hacker darstellt. Das musste auch Mark Maunder feststellen, als plötzlich Werbung in seinem Blog auftauchte. Beim Nachforschen stiess er auf weitere Ungereimtheiten. So hat der Hacker eine Alucar Shell hochgeladen, um den Server per Mausklick zu durchforsten.

So behebt man die Lücke

Mark hat in seinem Blog eine Anleitung gepostet, wie man die Lücke vorerst schliessen kann. Am besten ist es, TimThumb iunklusive des Cache-Verzeichnisses komplett zu löschen. Wer dies nicht will, sollte etwa auf Zeile 27 des Scripts das Array $allowedSites aufspüren und ersetzen mit $allowedSites = array();.

Desweiteren sollte man nach base64_decode(...) Ausschau halten, am besten via SSH mit dem grep-Kommando. Laut Mark gibt es auch verdächtige .txt-Dateien im /tmp/-Verzeichnis des Servers.

Hierbei wurden von verschiedenen Personen Sicherheitsmängel gemeldet, unter anderem auch von Microsoft-Mitarbeitern. Es handelt sich vor allem um zusätzliche Kontrollmassnahmen, etwa bei Datenbankabfragen. Durch einen zusätzlichen HTTP Header-Tag im Login- und Adminbereich wird zum Beispiel Clickjacking verhindert. Alle Details gibts im offiziellen Blogbeitrag, auch ein komplettes Changelog gibt es.

WordPress 3.2 Beta 2

Erst vor 13 Tagen wurde WordPress 3.2 Beta 1 veröffentlicht. In diese neu Version fliessen selbstverständlich auch die Mängelbeseitigungen ein. Desweiteren gab es einige weitere Fehlerbeseitigungen, Google Chrome Frame wird nun unterstützt und das blaue Farbschema wurde umgepinselt. Also am besten gleich herunterladen.

Glücklicherweise geht das Team um Matt Mullenweg sehr professionell damit um, die Logfiles wurden systematisch analysiert, um das Sicherheitsleck zu finden und dicht zu machen. Offensichtlich konnten die Hacker Quelltext des Dienstes kopieren, was Matt im WordPress.com Blog besonders hervorhebt. Zwar besteht WordPress.com hauptsächlich aus frei verfügbaren Open Source Plugins, einige jedoch wurden speziell von Automattic für den Blog Hoster entwickelt.

Tough note to communicate today: Automattic had a low-level (root) break-in to several of our servers, and potentially anything on those servers could have been revealed.

We have been diligently reviewing logs and records about the break-in to determine the extent of the information exposed, and re-securing avenues used to gain access. Beyond that, however, it appears information disclosed was limited.

Den Benutzern wird nun geraten, ihr Passwort vorsichtshalber zu ändern. Man sollte auch nicht dasselbe Kennwort auf mehreren Websites verwenden, Tools wie KeePass & Co. sollten da helfen.

Bei solch einem Vorfall kann man nur froh sein, dass Automattic hier rasch reagiert und transparent informiert. Wir hoffen jedenfalls, dass diese Nachrichten in der Zukunft seltener werden.

Three point oh point five
Enhances security
Three point one comes soon

Die Security-Fehler erlaubten es Benutzern mit der Rolle Autor und Editor, erweiterten Zugriff zum Blog zu erhalten und beispielsweise Beiträge anzusehen, die sie eigentlich nicht dürften. Zudem gab es weitere Vorsichtsmassnahmen bei der Schadcode-Filterung von Kommentaren.

WordPress 3.1 RC4 stopft nicht nur die Sicherheitslöcher, sondern enthält auch einige Bug Fixes und sollte nun wieder vollständig PHP4-kompatibel sein. In WordPress 3.2 wird dann die Mindestvoraussetzung PHP5 sein. Der endgültige Release von WordPress 3.1 steht nun kurz bevor.

Pluginize.com - Plugins nach Mass

Funktionsprinzip

Sobald man eine Idee für ein komplett neues Plugin hat oder ein bestehendes Plugin erweitern möchte, kann man sich auf Pluginize.com genauer darüber informieren.

Die Anpassung eines bestehenden Plugins kostet mindestens 100 Dollar, ein neues Plugin 250 Dollar und aufwärts. Das Team rund um Williams sorgt dafür, dass das Plugin sauber und mit vielen Features programmiert wird. So gehören die Unterstützung von mehreren Sprachen, eine Deinstallations-Funktion und eine Sicherheitsüberprüfung zum Standardumfang. Was uns aber am besten gefällt: Die Plugins sind 100% GPL und werden ins WordPress Plugin-Verzeichnis hochgeladen. So tut man auch etwas Gutes für die Community, die so ein Plugin vielleicht auch gerne hätte.

Fazit

Wenn man auf die Schnelle ein sauber programmiertes WordPress Plugin benötigt, lohnt es sich sicher, einmal einen Blick auf Pluginize.com zu werfen. Auch wenn wir den Dienst nicht getestet haben, so denken wir, dass man ihn ruhigen Gewissens ausprobieren kann.

Wenn man VaultPress benutzen will, muss ein WordPress Plugin installiert werden, welches dann mit dem Dienst kommuniziert. Dadurch lässt sich jedes noch so kleine Detail des Blogs speichern. Bei herkömmlichen Backup Plugins wird ja meistens nur die Datenbank gesichert, VaultPress geht hier einen Schritt weiter und speichert sogar alle Themes und Plugins. Ausserdem wird der Blog bei auftretenden Sicherheitslücken direkt mit Hot-Fixes geschützt.

Das meint übrigens Matt Mullenweg, Gründer von Automattic, zu VaultPress (zu lesen im VaultPress Blog):

The vision of VaultPress is to ensure that blogs and sites under its care are always completely secure, regardless of what happens. Today, this means every bit of content will be safe, from plugins and themes to the smallest comment or post revision, with WordPress-aware, real-time, multi-cloud backups. This is some of the most advanced technology I’ve seen interact with WordPress.

In the future, if your site is tampered with in any way, we’ll know within minutes and can take appropriate steps. The VaultPress core engine will be able to protect you against zero-day security vulnerabilities by updating your blog with hot-fixes, even while you sleep.

Note that we are skipping version 2.6.4 and jumping from 2.6.3 to 2.6.5 to avoid confusion with a fake 2.6.4 release that made the rounds. There is not and never will be a version 2.6.4.

Zur Erklärung: Vor kurzem ist eine gefakte WordPress Website aufgetaucht, welche absichtlich eine neue WordPress Version (2.6.4) angepriesen hat, um an die Zugangsdaten der Benutzer heranzukommen.

Da diese Version keine Änderungen an der deutsch Sprachversion mit sich bringt, kann man sie auch getrost bei der offiziellen Website herunterladen und nur die geänderten Dateien auf den Server hochladen.

Durch eine momentan unbekannte Hintertür wurde im Dashboard von vielen WordPress Blogs angezeigt, es gäbe eine neue WordPress Version 2.6.4. Dem ist nicht so! Das Ganze ist nur ein Fake, womit man auf die gefälschte Website und somit zum Download gelangt.

Eine kurze Stellungsnahme durch Sophos zur Meldung von Craig Murphy lautet wie folgt:

“Craig talks about how when he logged in to his admin account in WordPress he received a “High Risk Vulnerability Warning” from a spoofed WordPress domain. (The last ’s’ in WordPress.org has been replaced by a ‘z’.) The Warning suggests upgrading to the ‘new’ version 2.6.4 of WordPress. Downloading this ‘new’ version of WordPress I found that of the 638 files in version 2.6.4, 637 were identical to the same files in the official 2.6.3. The only difference was in the file pluggable.php. The hacked version of the file pluggable appears to be stealing the content of cookies on larger installations of WordPress. Sophos are now detecting this file as Troj/WPHack-A.”

Mit anderen Worten: Im Dashboard wird überdeutlich auf eine neue und offiziell nicht existierende Version hingewiesen, die eine Sicherheitslücke beheben soll. Wer das Paket herunterlädt, ladet im Prinzip aber nur WordPress 2.6.3 herunter. Mit der Ausnahme, dass die Datei pluggable.php modifiziert wurde und die Cookies der angemeldeten Benutzer zur gefakten Website schickte. So konnte der Bösewicht Zugang zu Blogs erhalten.

Zur Verdeutlichung und zum besseren Verständnis ein paar Screenshots: