Es sind keine leichten Zeiten im Internet. Immer wieder hört man von gehackten Websites und Blogs, von eingeschleusten Links oder sogar Schadcode, der die unbekümmerten Besucher attackiert.
Deshalb ist es wichtig seinen Blog zu schützen. Schön, dass diese Probleme nun langsam mehr Aufmerksamkeit bekommen und sich erste Entwickler daran machen, Sicherheits-Plugins für WordPress zu entwickeln.
4 Plugins, die für mehr Sicherheit im eigenen Blog sorgen, möchte ich heute vorstellen.
Antivirus Plugin
Es gibt viele Möglichkeiten, wie ein Blog angegriffen werden kann. Eine davon ist, dass in die Template-Dateien Schadcode eingebaut wird.
Kaum jemand überprüft aber ständig seine Template-Dateien oder schaut zumindest regelmäßig per FTP auf die Dateien. Wenn man es täte, könnten einem Manipulationen schon durch ein aktuelles Datum bei einer oder bei mehreren Dateien auffallen.
Doch die meisten „normalen“ Blogger bekommen die Template-Dateien nur selten zu Gesicht. Hier kommt ein WordPress-Plugin zu Hilfe, welches automatisch die eigenen Template-Dateien nach verdächtigen Spuren durchsucht.
Das „Antivirus-WordPress-Plugin“ von playground.ebiene.de übernimmt diese Aufgabe.
Einmal täglich oder auf Wunsch auch manuell werden die Template-Dateien und auch Optionsfelder der Datenbank untersucht. Wird verdächtiger Code gefunden, so erscheinen die betreffenden Zeilen rot umrandet.
Handelt es sich um einen Fehlalarm, weil der verdächtige Code z.B. ein Affiliate-Link ist (wie bei mir), dann kann man diesen speziellen Code in eine Whitelist eintragen. Man klickt dafür auf den Button „Ist kein Virus“ und schon wird diese Codestelle nicht mehr beanstandet.
Insgesamt ein sehr nettes Tool, welches bei Alarm sogar eine eMail an den Bloginhaber senden kann.
Allerdings ist der Funktionsumfang noch zu gering. Da müssten doch noch ein paar mehr Checks erfolgen, da auch andere Dateien der WordPress-Installation mit Schadcode infiziert sein können.
Und warum das Plugin nun „Antivirus“ heißt, weiß ich ehrlich gesagt auch nicht. Denn mit einem Virus hat das herzlich wenig zu tun. Aber es hört sich halt gut an. :-)
Update: Der Autor, Sergej Müller, hat nochmal erläutert, dass es einen speziellen WordPress-Wurm gibt, der sich automatisch (bei zu einfachem FTP-Passwort) in den WordPress-Blog einschleust und dann selbständig Inhalte in den Blog schreibt und sogar „nach Hause“ Kontakt aufnimmt. Das sind Merkmale eine Computervirus und deshalb wurde des Plugin so benannt. Was es nicht alles gibt.
WordPress Security Scanner
Der „WordPress Security Scanner“ sorgt ebenfalls für mehr Sicherheit im eigenen Blog.
Damit ist es möglich, Schwachstellen im eigenen Blog aufzuspüren, die Hacker für Angriffe nutzen könnten.
Das Plugin verfügt unter anderem über die folgenden Funktionen:



- Überprüfung der Dateirechte
- Datenbankabsicherung
- das Verstecken der WordPress Version
- Absicherung des Admin-Bereichs
In Zukunft sollen noch einige Funktionen dazu kommen. So plant man eine „1 Klick Lösung“ um Dateirechte richtig zu setzen. Es sollen fehlerhafte Anmeldungen gelogt werden. Es soll auch ein Test auf XSS Schwachstellen dazu kommen. Und noch einiges mehr.
Der Anfang ist auf jeden Fall gemacht, auch wenn es bei diesem Tool ebenfalls noch viel zu tun gibt.
Blogsecurity WP Scanner
Der WP-Scanner von Blogsecurity ist kein klassisches WordPress Plugin. Um den eigenen Blog allerdings testen zu können, muss man vorher ein Plugin installieren, damit man als Inhaber des Blogs erkannt wird.
Hat man das Plugin installiert kann es auch schon losgehen. Man gibt einfach seine URL ein und der Scanner untersucht den eigenen Blog.
Dabei wird z.B. geprüft, ob eine WordPress-Version im Header angegeben wird oder wichtige Plugins, wie Akismet, auf dem aktuellen Stand sind.
WordPress Exploit Scanner
Der Exploit Scanner macht ein wenig mehr, als die bisherigen Tools. Dieses Sicherheits-Plugin durchsucht nicht nur Dateien, sondern auch die Datenbank nach verdächtigen Inhalten.
Das ist ein guter Ansatz, da natürlich nicht nur in den Templates Schadcode versteckt werden kann.
Allerdings ist die Erkennung noch sehr verbesserungsbedürftig. Und für den Laien sind die vielen Angaben und Codezeilen auch nicht zu durchschauen.
Ein guter Ansatz ist es dennoch und vielleicht werden dieses und die anderen Sicherheits-Plugins in Zukunft noch besser. Man kann es nur hoffen.
Gibt es die hundertprozentige Sicherheit?
Mit Sicherheit nicht!
Was für ein Wortspiel. :-)
Nichts ist zu 100% Prozent sicher. Wenn es ein Profi auf deinen Blog abgesehen hat, dann wird er auch Mittel und Wege finden. Aber das ist ja nicht der Normalfall. In der Regel handelt es sich um Scriptkiddies, die meist bekannte Sicherheitslücken älterer Software-Versionen ausnutzen und wahllos Blogs mit eben jener älteren Software-Versionen angreifen.
Deshalb lautet die oberste Regel: Immer schön die Blogsoftware aktualisieren.
Dies gilt natürlich vor allem dann, wenn es sich um Security-Patches handelt.
Aber auch bei den Plugins sollte man vorsichtig sein. Diese werden nicht von den WordPress-Entwicklern geprüft und besitzen tendenziell noch mehr Sicherheitslücken. Hier sollte man sich also genau umschauen, was über ein Plugin bereits so im Web geschrieben wurde. Und auch Plugins sollte man natürlich auf dem aktuellsten Stand halten.
Man sollte also wachsam bleiben und auch immer mal wieder den eigenen Seitencode durchschauen. Verdächtige Links etc. findet man durch solche Sichtprüfung meist recht schnell.
Morgen stelle ich hier ein paar Plugins vor, die nicht konkret nach Angreifern suchen, aber den eigenen WordPress-Blog um ein paar Sicherheits-Funktionen erweitern.
Danke für den Hinweis auf solche Plug Ins. Werde mal schauen wie die Ergebnisse bei mir sind. Bin schon gespannt.
Diese Vorgehensweise ist doch bescheuert.
Nun soll ich auch noch PlugIns auf meinem Blog aktivieren die andere PluIns und die ganze Seite auf Lücken hin untersucht?
Ich finde diese Arbeit kann man auf die Entwickler auslagern.
Naja ich persönlich halte auch nicht ganz so viel von Security Scanner. Kommt aber auch daher, weil ich lieber manuelle Audits und Pentests mache.
Hilft aber trotzdem bestimmt einigen weiter.
Hab gestern übrigens auch einen kleinen Artikel darüber geschrieben, wie man die Sicherheit in WP erhöhen kann :-)
Na klar, ich beantworte deine Fragen zu meinem Produkt in deinem Blog, auch wenn ich durch Zufall hierher gefunden habe…
Zitat: „…könnten einem Manipulationen schon durch ein aktuelles Datum bei einer oder bei mehreren Dateien auffallen.“
Könnten sie nicht, da – wie ich in meinem Beitrag es auch geschildert hatte – verändert der Virus, Wurm oder wie auch immer du solche Biester bezeichnest, auch das Änderungsdatum, damit solche Menschen wie du (jetzt nicht böse gemeint, nur weil du es angesprochen hast), da rein fallen und zumindest auf diesem Weg auf die Injektion nicht aufmerksam werden.
Zitat: „Allerdings ist der Funktionsumfang noch zu gering. Da müssten doch noch ein paar mehr Checks erfolgen.“
Wenn du deinen Lesern das sagst, da freuen sie sich darüber. Nur der Entwickler kriegt nichts davon mit. Was fehlt dir? Es sind auch viele Dinge für den Endverbraucher nicht sichtbar und so prüft das Plugin auch die Datenbank ab – hast du nicht gemerkt, muss du auch nicht, denn das Plugin ist dafür da, um dein Blog zu schützen und nicht um dich mit unnötigen Infos vollzumühlen. Steht aber alles auf der Pluginseite, man muss es sich nur genau durchlesen, was kaum einer tut.
Zitat: „Und warum das Plugin nun “Antivirus” heißt, weiß ich ehrlich gesagt auch nicht“
Auszug aus Wikipedia: „Ein Virus ist ein sich selbst verbreitendes Computerprogramm, welches sich in andere Computerprogramme einschleust und sich damit reproduziert.“ Das ist auch bei dem WordPress-Virus bzw. Wurm nicht anders: Wird unaufgefordert eingeschleust, holt den Schadcode vom Drittserver ab und kann sich dadurch verbreiten, indem weitere WordPress-Blogs infiziert werden.
Noch Fragen? Gerne per E-Mail, denn ohne einer Kommentarbenachrichtigung kriege ich sie nicht mit.
Habe noch nie solche Tests durchgeführt. Werde dies aber mal die Tage tun. Schaden kann es nicht und dient ja der eigenen Blogsicherheit. Auf jeden Fall danke für die Pluginempfehlungen.
Hallo Sergej,
danke für die Richtigstellungen.
Die Sache mit der Datenbank hatte ich überlesen. Das hast du aber auch gut versteckt. Die Prüfung der Templates wurde diverse male angesprochen und auch im Plugin selber steht nur was von „Templates prüfen“. Mein Fehler.
Im Grunde sagst du ja selber, dass es in fast jeder Datei und in der Datenbank zu Manipulationen kommen kann. Der von dir beschriebene „Wurm“ ist da ja nur eine Möglichkeit unter vielen.
Ich werde das Plugin auf jeden Fall weiter beobachten.
Ich würde auf jeden Fall noch das Plugin Limit Login Attemps benutzen…
Hoppla, da habe ich wohl noch eine Wissenslücke. Ich hatte zwar vor einiger Zeit von Virenangriffen auf Blogs gehört, wusste aber nicht, dass dieses Thema doch so ernst ist. Werde auf jeden Fall eines dieser Plugins in der nächsten Zeit testen.
Besten dank für die Auflistung dieser Plugins. Das ein oder andere davon werde ich wohl auch noch bei mir auf dem Blog installieren.
Ein guter Tipp ist auch noch den Admin-User anders zu nennen. Auf diese Weise gehen automatisierte Brute-Force-Angriffe auf den User ins leere.
Hallo,
das Plugin AntiVirus für WordPress, entdeckt sehr viele Php Tags in meinem Theme welche überhaupt kein Virus sind…
Wollte darauf mal hinweisen, dass man sich nicht wundern sollte wenn plötzlich 25 Virusmeldungen auftauchen.
Was auch sehr komisch ist, der Wp-Scan von Blogsecurity, lässt sich seit Tagen nicht benutzen, es heißt er werde upgedatet, doch es passiert nichts…
Lg deichy
@ Deichy
Naja, Anti-Virus ist wahrscheinlich das falsche Wort. Schließlich sucht das Plugin nicht nach Viren, sondern nach PHP-Befehlen in den Theme-Dateien, die auffällig sind.
Und wenn man selber da viel mit PHP macht, dann meckert das auch erstmal häufig. Wenn man diese „Falschmeldungen“ dann aber erstmal deaktiviert, dann meckert es nicht mehr und nur noch bei neuen Problemen.
Ja mit der Sicherheit ist so eine Sache, gerade wenn man bei einem kleineren Hoster ist oder spielt das eher keine Rolle? Aber denke schon, dass ein Hacker es bei einem 1und1 Account schwieriger hat als bei einem kleineren Hoster?
Nicht unbedingt. Große Hoster sind auch beliebte Ziele.
Danke für den Beitrag. Der hat mich daran erinnert, meine Plugins mal wieder upzudaten. Und die vorgestellten Tools werde ich mir mal genauer anschauen.
Liebe Grüße
Sabine