Wurm-Attacke gegen WordPress

Von am 7. September 2009  

Wordpress Logo PumpkinJetzt keine Herzattacke, seit Version 2.83 ist das Wurmloch gesichert. Ältere Versionen der Blogsoftware aber fallen reihenweise dem Wurm zum Opfer, der sich über Javascript verbreitet.

Der Wurm injiziert nicht nur harmlosen Spam, sondern auch Malware. Er registriert einen neuen User, nutzt die im August geschlossene Sicherheitslücke, macht Code durch die Permalink-Struktur ausführbar. Der Wurm-Benutzer erhebt sich selbst in den Stand eines Administrators und nutzt wiederum Javascript, um sich zu verbergen, während er heimlich Spam und Malware in ältere Beiträge einschleust.

Das passierte auch dem ebenso bekannten wie nachlässigen Blogger Robert Scoble. Der war noch auf dem Stand von WordPress 2.7 und hatte es darüber hinaus versäumt, sich um so banale Dinge wie Backups zu kümmern. Das traf ihn hart, nachdem der Wurm eben mal seine Beiträge der letzten beiden Monate beseitigte.

Der zweite Schlag folgte sogleich. Eine E-Mail von Google informierte Scoble darüber, dass seine Site Malware enthielt und daher vorsorglich aus dem Index der Suchmaschine entfernt wurde. Endlich gingen die Alarmsirenen los. Ein ganzes Team musste her, um die Reste seines Blogs zu retten. Scoble selbst heulte sich mit einem Posting aus: “Ich fühle mich nicht mehr sicher mit WordPress, Hacker sind eingebrochen und haben Sachen mitgenommen”

Zu bemerken ist der Angriff unter anderem, weil der Wurm nicht übermäßig sauber hinter sich aufräumt und lauter gebrochene Links hinterlässt. Spätestens das bringt jeden Blogger dazu, sich den Schaden näher zu betrachten und Gegenmaßnahmen zu ergreifen.

Bei einer so verbreiteten Software werden immer wieder Sicherheitslücken entdeckt und ausgenützt. WordPress-Entwickler Matt Mullenweg weiß das auch und empfiehlt, sich der geringeren Mühe regelmäßiger Updates zu unterziehen, um den viel größeren Aufwand im Schadensfall zu vermeiden.

Automatische Updates

Wie es der Zufall will, hatte ich gestern (neben üblichen Wartungsarbeiten und Backups) vier WordPress-Installationen auf die aktuelle Version 2.84 aktualisiert, noch bevor die Wurm-Nachricht einschlug. Bei neueren Versionen seit 2.7 ist es dank “automatischem Update” ein relatives Kinderspiel im Vergleich zu früheren Aktionen.

Es läuft nicht ganz ohne Zutun des Benutzers, sondern ist durch zwei bewusste Klicks in Gang zu setzen. Das Dashboard meldet stets die installierte Version und zusätzlich, wenn es eine aktuellere gibt: “Eine neue WordPress-Version ist verfügbar.” Ein erster Klick führt zu einer Auswahl, die das automatische Aktualisieren oder das Herunterladen des vollständigen ZIP-Archivs anbietet. Beim automatischen Aktualisieren kommen noch ein paar Meldungen, dann wird die erfolgreiche Aktualisierung bestätigt.

Komplexer kann es bei manuellen Upgrades und insbesondere bei älteren Versionen gehen, für die es ausführliche Anleitungen gibt. Ob automatisch oder manuell: Zuerst die Datenbank und alle Dateien im WordPress-Verzeichnis sichern.

Erweiterungen versprechen noch mehr Sicherheit für WordPress-Blogs. Nigel Powell listet hier insgesamt 16 schützende Plugins für WordPress und gibt grundlegende Sicherheitstipps – nachdem sein Gadgetblog Redferret einer bösartigen Attacke zum Opfer fiel.

(bk)

Zum Thema im Web:

Robert Scoble

Matt Mullenweg: How to keep WordPress Secure

WordPress Upgrades Doku (deutsch)

Upgrading WordPress Detailed Instructins

Abbildung: bionicteaching / CC (WordPress-Logo in Kürbis geschnitten)

Diese Icons verlinken auf Bookmark Dienste bei denen Nutzer neue Inhalte finden und mit anderen teilen können.
  • Facebook
  • Google Bookmarks
  • TwitThis