WordPress ist eine Software die gerne für Webseiten eingesetzt wird. Aus diesem Grund gibts viele böse Menschen die alles daran setzen um Sicherheitslücken bei WordPress zu finden und auszunutzen. Solche Bugs werden dann, sobald die Bugs bekannt werden, sofort durch ein Plugin-Patch aktualisiert und gesichert. Das Ganze ist also ein reines Wettrennen zwischen Hacker und Webseitenbetreiber.

Darum sollte man seine CMS Systeme (egal ob WordPress, Joomla oder sonst ein anderes) immer aktuell halten.

Nun viele Webseitenbetreiber wissen nicht unbedingt, welche Plugins sie im Einsatz haben, darum ist es sehr gut, wenn der Hoster hier den Kunden unterstützt.

So habe ich vor einer Stunde eine eMail von Hostpoint erhalten mit einer Warnung. So wie es aussieht, scannen sie gerade ihre Kundenkonten nach diesen 2 Plugins.
Und zwar gibts 2 grössere Bugs beim Slider Revolution Plugin und beim Download Manager Plugin.

Hostpoint verschickt eMail: Unsichere WordPress Installation (SoakSoak Warnung)

Als ich die eMail erhalten habe, bin ich natürlich zuerst mal ziemlich erschrocken. Bin ich doch davon ausgegangen, dass ich schon längst alles gepatcht habe und alle System aktuell halte. Als ich dann das eMail ein 2. mal angeschaut habe, ist mir etwas spanisch vorgekommen. Da wird eine Domain erwähnt, die gar nicht dort gehostet wird (sondern früher mal dort war). Und tatsächlich – in meinem Fall hat Hostpoint eine uralte, nicht aktive Plugin Version vom Slider Revolugion Plugin gefunden die in einem Ordner rumgammelte. Sie haben daraufhin das Plugin deaktiviert und entfernt und mich informiert.

Ich finde ja so einen Service von Hostpoint perfekt. Einerseits checkt der Hoster so nach Schwachstellen in seinem System und schützt die anderen Kunden, und er informiert dabei noch die Hoster dass sie was tun müssen. Leider prüft Hostpoint hier nicht, ob der Ordner mit einer Domain verbunden ist (also aktiv ist) oder nur als Fileschrott rumgammelt. In meinem Fall wars nur Fileschrott der Betroffen ist.

Fazit:

Als Kunde bin ich einerseits von dieser Warnung begeistert und andererseits sollte der Hoster auch eine Aktiv/Inaktiv Prüfung durchführen. Denn mit so einer eMail bekommen viele Kunden sicher vor Schreck weisse Haare 😛

Wer also so eine Warnung erhalten hat, soll nicht gleich vor Schreck tot umfallen – sondern mal tief durchatmen. Danach sollte derjenige das Patch durchführen oder oder die inaktive Installation löschen.

Ich werde wohl in den nächsten Tagen mal mein Hosting durchstöbern und alle toten/alten Webseitendaten löschen – sonst bekomm ich bei der nächsten bösen eMail von Hostpoint wirklich noch weisse Haare vor Schreck.

Aktualisiert eure WordPress Plugins

Hier noch die URL, zu den neuen und aktualisierten (sicheren) Plugins:

Über

Eric-Oliver Mächler

Seit 2005 bin ich ein aktiver Blogger. Ich kenne die Kniffe und die Tricks um einen Blog erfolgreich zu machen. Hier gebe ich diese kleinen Tricks gerne weiter und freue mich, wenn ich euch helfen kann. Hier erfährt man mehr über mich.

4 Kommentare

  • Guete Morge Eric
    Danke für Deinen Blogbeitrag. Zwei Punkte möchte ich noch aufgreifen:

    Dass Du erschrocken bist, ist gut so, denn damit haben wir einen wichtigen Punkt bereits erreicht. Als Webhosting-Provider stellen wir zwar die Infrastruktur zur Verfügung, können allerdings aus naheliegenden Gründen für vom Kunden selbst installierte Software keine Garantien übernehmen. Der Kunde ist selbst dafür verantwortlich, seine Software, insbesondere durch das Einspielen von Updates (auch von Plugins etc.) auf einem aktuellen Stand zu halten.

    Leider geht das gern vergessen, was bei einem Hackfall zur unangenehmen Konsequenz führt, dass wir die betroffene Webseite sperren müssen. Diese Sperrung müssen wir durchführen, weil ansonsten auch andere Kunden in Mitleidenschaft gezogen werden (das offensichtlichste ist dabei z.B. der Versand von Spam durch die Malware, die wiederum dazu führen kann, dass unsere Mailserver temporär auf Spamlisten landen und damit Mails nicht mehr zuverlässig verschickt werden können (siehe z.B. http://de.wikipedia.org/wiki/DNS-based_Blackhole_List).

    Zudem: Sperren wir die gehackten Webseiten nicht, wird es nicht lange dauern, bis Google in den Suchresultaten vor dem Besuch der gehackten Seiten warnt und, im Falle einer .ch-Domain, sogar Switch die Domain sperrt. Dann würde nicht nur die betroffene Webseite, sondern die gesamte Domain, inkl. E-Mail etc., gesperrt.

    Zum Zweiten: Deine Annahme, dass durch einen lückenhafter Code nur dann Schaden angerichtet werden kann, wenn dieser einer Domain zugeordnet ist, ist falsch. Das gilt auch für Plugins, die in WordPress deaktiviert sind, denn der Code ist trotzdem ausführbar. Grundsätzlich sind ALLE Daten, die im www-Verzeichnis liegen, von aussen zugänglich und damit potentiell angreibar. Die von Dir bemängelte Aktiv-/Inaktiv-Prüfung würde ihren Zweck damit nicht erfüllen.

    Zu gutem Webmastership gehört es deshalb auch, seine Installationen regelmässig auf den aktuellen Stand zu prüfen und nicht mehr benötigte Installationen und Dateien zu löschen (siehe auch https://support.hostpoint.ch/index.php?page=ArticleDetailPage&navigation=10&article=27).

    Beste Grüsse,
    Tom

    • Hoi Tom, danke für deinen Kommentar, der sehr wertvoll für meine Leser sein kann.

      Aber trotzdem jetzt habe ich noch eine Gegenfrage, du sagst im 2. Punkt dass das Script ausführbar bleibt – ja das ist klar. aber wie soll man so ein script ausführen/ von aussen zugreifen wenn er in einem komplett anderen Ordner liegt? Nehmen wir das Bsp. das ihr mir gemailt habt.

      Wäre also als bsp ~/www/chefb und ~/www/maechler die internet struktur.

      wie kann ich also von http://www.maechler.me also online auf ein file bei ~/www/chefb zugreifen? das geht doch gar nicht – ausser man hat ftp zugangsdaten oder so. Du willst mir doch nicht sagen, dass ich ohne entsprechendes selbst hochgeladenes script so auf einen anderen ordner zugreifen kann?? das wäre ja ne riesen sicherheitslücke – nicht?

    • ja ich erinnere mich an meinen tweet, aber nachdem ich x url ausprobiert habe, und keine anzeige zu stande gekommen ist, dachte ich dass dies nicht geht. anscheinen wirds ausgeführt aber nicht angezeigt… interessant

      danke für deine antwort @tom

Hinterlass einen Kommentar