WordPress Hacks, Cracks, Security (1)

In den letzten Tagen wird ja wieder einmal viel über die Sicherheit bzw. Unsicherheit von WordPress gesprochen. In erster Linie wird WordPress beschimpft wie schlecht und unsicher es doch ist. Das ist teilweise sogar unbestritten, ich will jedoch nicht weiter darauf eingehen. Wie so oft fehlt es bisher an praktischen Lösungsansätzen. Gar nicht mal so sehr wenn’s darum geht das eigene Blog abzusichern – dafür finden sich genügend Tipps – eher aber wenn’s darum geht nach Eindringlingen zu suchen und zu prüfen ob man selbst betroffen ist.

Ich schaue mir das Thema für eigene Blogs und die von einigen Kunden gerade genauer an um zu sehen ob sie befallen sind und um sie vor zukünftigem Befall möglichst gut zu schützen. Einige dieser Erkenntnisse will ich versuchen im Blog festzuhalten.

Stark betroffen vom „wp-content/1“-Hack sind wohl immer noch einige unter WordPress 2.3.2 laufende oder zumindest noch nicht nachträgliche bereinigte Blogs. Ob man selbst betroffen ist kann man durch anhängen von „site: meine-domain.de“ an diese Google-Suche herausfinden. Eine Suchanfrage könnte also z.B. lauten „site:helmschrott.de inurl:wp-content/1“. Leider lässt sich bei Google der abschließende Schrägstrich in der URL nicht in den Filter aufnehmen, sodass dort auch harmlose URLs auftauchen wie …/wp-content/1-hase.jpg. Wenn jedoch im Verzeichnis wp-content/1/ eine Datei namens „poker-video.html“ oder ähnlich liegt, kann davon ausgegangen werden, dass der Blog betroffen ist oder war. Es reicht natürlich auch ein Blick auf den Server in’s entsprechende Verzeichnis. Mit der „Google-Methode“ lassen sicher aber mehrere Blogs auf die schnelle prüfen. Mit diesem Hack wurde offenbar eine Lücke in WP 2.3.2. ausgenutzt um ein Verzeichnis Namens „1“ innerhalb /wp-content/ anzulegen und darin diverse html-Seiten zu speichern und damit einfaches Java-Script-Cloaking zu betreiben. Das heisst sie zeigen den Suchmaschinen themenrelevanten Spaminhalt (Poker, Casino, Viagra, etc. – das übliche) und leiten den Besucher direkt auf die Zielseite (Casino-Partnerprogramm oder ähnliches) weiter.

Leider konnte ich noch nicht viele handfeste Infos zu diesem Thema finden. Betroffene sollten auf jeden Fall dringend ihr Admin-Passwort ändern, das Verzeichnis löschen und auf die aktuellste Version von WordPress (zum Zeitpunkt der Erstellung dieses Beitrags ist das 2.3.3) aktualisieren. Weiterhin kann es sein, dass Google die eigene Seite als gefährlich einstuft und bei einem Zugriff über Google (einfach dort nach der eigenen Domain suchen und anklicken) einen entsprechenden Warnhinweis ausgibt. Sollte dies der Fall sein, kann über das Google Webmaster Center entsprechender Antrag auf Änderung gestellt werden (Antrag auf erneute Überprüfung).

Bzgl. aktueller Hacks die auch die aktuellsten Versionen betreffen, konnte ich leider auch noch nicht allzu viel herausfinden. Es gibt wohl einige die einfache Links, die anschließend per CSS versteckt werden an Beiträge anhängen. Die bisher entdeckten Beispiele deuten alle auf einen identischen Eingangstag hin: „<font style=’position: absolute;overflow: hidden;height: 0;width: 0′>“. Wenn’s so wäre könnte man damit leicht eine Datenbanksuche veranstalten um eventuellen Befall des Blogs auszumachen. Sämtliche von mir überwachten Blogs sind demnach nicht befallen. Es gibt aber noch einiges mehr. Im WordPress-Forum war von diversen Javascript-Schnipseln zu lesen, die zwar bzgl. Google keine Gefahr darstellen, aber dafür vermutlich Besucher umleiten oder großflächig mit Werbung beschießen.

Update: Das mit den Javascript-Schnipseln entstammt wohl den Cloaking-Seiten aus dem oben genannten Hack. Habe ich wohl beim ersten mal überfliegen übersehen. Somit sind beschränken sich die mir bekannten Hacks auf in Beiträge injezierte und per CSS versteckte Links bzw. auf veränderte Templatedateien (das jedoch bisher ausschließlich durch Serverlücken und wohl auch manuell.

Ich werde mich mal weiter dran machen da was rauszufinden und halte Euch auf dem laufenden, wenn’s was neues gibt. Für sachdienliche Hinweise über die Kommentare, per Email oder auch Jabber bin ich natürlich jederzeit dankbar.

Für die Absicherung des eigenen Blogs sei die Lektüre und teilweise weiterführende Links der oben verlinkten Blogs empfohlen. Jedoch ohne Gewähr bzgl. Funktion und etwaige Fehler