bueltge.de [by:ltge.de] - Kommentare zu: WordPress gehackt - was tun, eine Schnellhilfe

Von: Frank Bültge

Frank Bültge — Wed, 29 Sep 2010 12:51:26 +0000

@Ramona: nimm den Teil raus
# PROTECT wp-login.php with password on .htpasswd AuthName "Admin-Bereich" AuthType Basic AuthUserFile /www/htdocs/w0123123/.htpasswd require valid-user %lt;/files>
der fragt eine passwort-Datei ab, sichert daher den Admin-Bereich komplett ab, was gut ist aber in Sachen Usability bewertet werden soll.

Von: Ramona

Ramona — Tue, 28 Sep 2010 11:58:15 +0000

Mit den Anweisungen # protect wp-config.php
"
Order deny,allow
deny from all

# protect install.php

Order Allow, Deny
Deny from all
Satisfy all
"
sperre ich mich aus: Internal Server Error.
Sorry für diese Frage, aber wie geht es denn dann?

Von: Rene

Rene — Tue, 22 Jun 2010 12:48:28 +0000

Der Horror blieb mir bislang hoffentlich erspart. Genau sagen kann ich das garnicht denn ein seltsamen fall hatte ich als ich mein blog auf 1blu.de webspace liegen hatte. Aber leider sperrte 1blu den Space sofort und kündigte mich dann fristlos womit bis heute ungekärt ist was es nun wirklich war Ich weiss nur soviel das eine Datei aufgetaucht sein soll auf dem Space die aber nicht von mir kam. Kurz darauf gab es dann aber auch ein WP Update.

Von: seo|kai

seo|kai — Mon, 17 May 2010 12:09:33 +0000

Wie ich in meinem Artikel zum Thema Crap Hats geschrieben habe, ist es manchmal sehr schwer überhaupt zu merken, ob ein Wordpress gehackt worden ist! Ein Blick in die Google Webmaster Tools kann viel Aufklärung leisten! "Abruf wie Googlebot" oder ausgehende Links und vorkommende Keywords... Denn ein schlauer Crap Hat wird versuchen unentdeckt zu bleiben!

Von: JUICEDaniel

JUICEDaniel — Wed, 28 Apr 2010 20:08:50 +0000

Krasse Diskussion hier, ist ja auf höchstem Niveau - sehr spannend, danke

Von: Bernd Ludwig

Bernd Ludwig — Fri, 23 Apr 2010 10:39:53 +0000

Ich habe den Strato SiteGuard eingeschaltet, also Loggin, Schreiben, FTP usw. gesperrt. Nutzt das was? Normal dürfte ja nun keiner mehr was verändern können, oder?

Von: Frank Bültge

Frank Bültge — Tue, 20 Apr 2010 13:45:05 +0000

Zum Glück bin ich ja immer oben

Von: Sergej Müller

Sergej Müller — Tue, 20 Apr 2010 13:34:05 +0000

Hatte ich oben etwa "...in den Augen klingeln..." geschrieben? Nee, Franks Blog ist definitiv gehackt

Thomas, hochmogeln und somit die Statistik über die weltweite WordPress-Verbreitung fälschen? Das geht aber wirklich nicht

Von: Thomas Scholz

Thomas Scholz — Tue, 20 Apr 2010 12:44:36 +0000

@Sergej Ich zeige die Version nicht, weil die Ausgabe nur die Zeit meiner Besucher vergeudet.

Hielte ich sie für sicherheitsrelevant, so würde ich sie keinesfalls verstecken, sondern hochmogeln. Denn nur so könnte man einen hypothetisch existierenden Bot zum Abdrehen bewegen, der sich nur an dieser Nummer orientiert. Aber einen so dummen Bot gibt es vermutlich nicht … :)

Von: Thomas Scholz

Thomas Scholz — Tue, 20 Apr 2010 09:57:52 +0000

@Frank: Opera 10.10 und 10.50 nehmen das padding von 1px sehr genau. Oh, der IE auch. Allein in Firefox, der für Inputs noch kein ordentliches Boxmodell besitzt, sieht es benutzbar aus. Bei mir habe ich diese Buttons zugunsten einer automagisch mitwachsenden Textarea entsorgt.

Von: Sergej Müller

Sergej Müller — Tue, 20 Apr 2010 09:46:08 +0000

Thomas, ich gebe meine Stellung wieder, die ich mir aus Erfahrung und dem Lesen ausländischer Blogs bilde. Manchmal sind es Gründe, die in deinen, meinen Augen nicht als rational klingen, sind aber so wie die sind.

Und ich sagte ja, es gibt solche und solche Bots. Jedes davon hat scheinbar seine Berechtigung am "Markt" zu sein, sonst wären sie nicht unterwegs gewesen. Unsere Aufgabe als Entwickler ist es nicht zu hinterfragen, was der effektivere Weg wäre in einen Blog einzubrechen, sondern wie man die existente Gefahr reduziert.

Schließlich hast du ja die Versionsnummer ebenfalls aus dem Blog-Quelltext verbannt.

Von: Frank Bültge

Frank Bültge — Tue, 20 Apr 2010 09:40:45 +0000

nur 2mm - System und Browser? auch wenn ich ungern fixe, ich will seit min. einem Jahr einen Relaunch, aber keine zeit

Von: Thomas Scholz

Thomas Scholz — Tue, 20 Apr 2010 09:39:34 +0000

@Frank: Sorry, habe ich glatt übersehen. Der ist hier nur zwei Millimeter breit.

Von: Frank Bültge

Frank Bültge — Tue, 20 Apr 2010 09:27:31 +0000

@Thomas: nutze den +-Button in den Quicktags oberhalb des Textarea, dann kannst du es vergrößern - reicht dir das, oder zu umständlich?

Von: Thomas Scholz

Thomas Scholz — Tue, 20 Apr 2010 08:39:33 +0000

Jetzt fragt nicht, woher ich es weiß

Muß ich aber.

Ich lasse mich gerne überzeugen, aber ich zweifle noch sehr.

Um es mal aus der Perspektive des Programmierers zu schildern (ich habe in den letzten Monaten einige Crawler/Grabber geschrieben): cURL ist schnell; Proxys sind billig.
Vom Zeitaufwand her ist der Zwischenschritt einer Vorkontrolle fast immer zu teuer.

Wenn er doch gerechtfertigt sein sollte, dann bringt das Entfernen der WP-Kennung alleine gar nichts: Die Plugins sind ja alle mehr oder minder sichtbar, und anhand deren Kennung kann man die laufende WP-Version sehr genau eingrenzen.

Wer routinemäßig in WP einbricht, kann vollautomatisiert eine Liste der 50 beliebtesten Plugins von wordpress.org samt ihren technischen Bedingungen pflegen – die Angaben stehen in genormten Feldern. Der freut sich womöglich über Leute, die sich sicher wähnen, weil sie die Versionsnummer ausblenden.

(P.S.: Diese Textarea ist zu flach.)

Von: Sergej Müller

Sergej Müller — Mon, 19 Apr 2010 19:47:01 +0000

@Thomas
Ich sehe das ebenfalls anders, denn:

Es laufen zig Crawler im Netz, die einfach nur an die Versionsnummer der WP-Instanz kommen wollen. Ja, so einfach, die wollen nicht mehr wissen als nur die reine Zahl. Eigentlich könnten diese Skripte auch gleich etwas Böses im Blog einrichten (zumindest versuchen), aber das würde länger dauern (kostet Zeit, Performance, Identität) und die meisten Exploits benötigen mehr als nur einen Befehl auszuführen, um erfolgreich einen "Virus" einzusetzen und ihn gekonnt zu verstecken. Auch braucht man fürs Einscannen der Seiten keinen Proxy oder andere Tarnmachnismen, was die Indexierung der potentiellen Opfer sehr schnell und effektiv macht.

Solche Nummern werden erst gesammelt, dann gezielt - abhängig vom Ranking einer Seite und der Version (bekannte Lücken) - massenweise, aber wahlweise auch manuell angegriffen und nach Möglichkeit infiziert. Ein weiterer Crawler läuft ein Tag später drüber und schaut, ob die Infektion erfolgreich war und gewollte Ergebnisse sichtbar sind. Ist ein Virus gesetzt, vom Prüf-Crawler auch so bestätigt und wird irgendwann später vom Blog-Admin erkannt und beseitigt (z.B. manuell aus dem Theme-Template restlos entfernt), so kriegt der Crawler es mit und versucht erneut die gleiche Lücke auszunutzen, weil die WP-Version konstant geblieben ist.

Jetzt fragt nicht, woher ich es weiß

Aber es gibt solche und andere Arten von Robots, die einem WordPress-Blog was antun wollen. Auch wenn ich meine Installationen vor einem Prozent der Angreifer schützen kann, ist mir die Mühe mit der Tarnung der Versionsnummern wert. Als alleinige Methode sicherlich kaum etwas wert, aber als Bestandteil eines Sicherheitspakets eine solide und berechtigte Ergänzung.

Von: Thomas Scholz

Thomas Scholz — Mon, 19 Apr 2010 19:28:13 +0000

@Frank: Angriffe erfolgen durch Scripte. Kein Mensch nimmt sich die Zeit, im Quellcode oder im HTTP-Header nach einer bestimmten Version zu suchen. Ein veraltetes System ohne Kennzeichnung wird nicht seltener angegriffen als eines mit der Angabe. Das ist Wunschdenken, und davor sollte man ebenso dringlich warnen wie vor den Angreifern selbst.

Was ich von Updateschlampen halte, schreibe ich hier lieber nicht …

Von: Frank Bültge

Frank Bültge — Mon, 19 Apr 2010 19:20:58 +0000

@Thomas: im Grunde stimmt das, aber da man bei OSS auch die Scheunentore dokumentiert, kann es schon ein Faktor sein, denn damit erkennt man explizit die Version mit der jeweiligen Lücke, wobei ich hier eher von alten Versionen ausgehe, die soll es geben

Von: Thomas Scholz

Thomas Scholz — Mon, 19 Apr 2010 19:09:06 +0000

Zum ›Verstecken‹ der Versionsnummer und gleichwertigen Psst-Aktionen: Security by Obscurity ist kein Sicherheitskonzept. Wer in eine Website einbrechen will, der probiert sowieso alle bekannten Exploits aus, ob er die dahinter stehende Software nun kennt oder nicht.

Ich beobachte beispielsweise täglich Versuche, in Typo3 oder phpBB einzubrechen, auch wenn diese System überhaupt nicht vorhanden sind.

Der einzige Effekt der versteckten Versionsangabe ist ein falsches Sicherheitsgefühl. Naja, und man spart ein paar Bytes beim Transport.

Also handelt das bitte nicht unter Sicherheitsmaßnahmen ab, sondern bestenfalls unter Performance.

Von: Michael Rimbach

Michael Rimbach — Mon, 19 Apr 2010 15:24:10 +0000

Ich würde auch die WP Versionsnummer aus dem Head entfernen

Von: Mariusz

Mariusz — Mon, 19 Apr 2010 14:07:48 +0000

@Sergej: Stimmt, bevor man ueberhaupt ein Backup einspielt sollte man die DB pruefen. Dein Plugin benutze ich auch und kann es nur empfehlen.
@Heiner: Im Grunde ist es egal wie man Sichert. Ich hatte mit diesem Plugin gute Erfahrungen - auch beim Backup einspielen. WP und Plugins muess(t)en dann noch manuell gesichert werden.

Von: Frank Bültge

Frank Bültge — Mon, 19 Apr 2010 09:59:01 +0000

@Wolfgang: dies ist klar und wird unter anderem durch mein Plugin Secure WordPress verhindert, steht aber schon ausführlich in den verlinkten Artikeln.

Von: Lothar

Lothar — Sun, 18 Apr 2010 18:13:13 +0000

Sehr informativer Artikel, habe ich mir direkt ausgedruckt! Ich bin selber Blogger, aber noch blutiger Anfänger (nicht was die Themen über die ich schreibe betrifft), mit WP kenne ich mich noch nicht besonders gut aus.

Von: Wolfgang

Wolfgang — Sun, 18 Apr 2010 15:18:28 +0000

Was nutzt das Entfernen der readme.html wenn im Seitenquelltext so etwas steht:

meta name="generator" content="WordPress 2.9.2"

Von: dot tilde dot

dot tilde dot — Sun, 18 Apr 2010 14:35:56 +0000

immer diese bösen hacker.

.~.