Beiträge

security

Wie im Jetpack Blog zu lesen ist, wurde durch Sucuri eine kritische Lücke in Jetpack ab Version 2.0 gefunden. Die Lücke entsteht beim Verarbeiten von Shortcodes.

Derzeit gibt es keine Hinweise darauf, dass die Lücke ausgenutzt wird. Da der Fehler jetzt aber veröffentlicht wurde, kann das ggf. nicht lange dauern. Aus diesem Grund ist das sofortige Update auf Jetpack 4.0.3 – über das Dashboard oder Download – zu empfehlen.
Das Update wird auch über das Auto Update von WordPress verteilt – und schließt auch eine weitere Exploit Möglichkeit für euer Blog.

Update:

Viele Hintergründe und technische Informationen findet ihr im Sucuri Blog

security

Es tut sich eine neue Lücke auf – dieses mal sind das TwentyFifteen Theme, standardmäßig in WordPress Installationen enthalten, sowie das Jetpack Plugin betroffen.
Genauer gesagt geht es um das hier enthaltene genericons Paket, welches laut Sucuri anfällig für einen DOM-basierten XSS Angriff ist. Schuld hieran ist die Datei example.html, welche hier enthalten ist.

Das Problem bei DOM-basierten Angriffen ist, dass es sich um einen lokal am Client ausgeführten Angriff handelt. Dieser lässt sich daher auch nicht Server seitig blockieren oder verhindern, etwa durch Webseiten Firewalls.
Allerdings muss die kompromitierte URL gezielt aufgerufen werden, was aber unbedarften Anwendern vermutlich nicht auffällt.

Das Problem lässt sich leicht lösen, indem man die example.html Datei aus dem genericons Verzeichnis löscht.
Soeben sind auch Updates für Jetpack sowie TwentyFifteen erschienen.

Da das genericons Paket allerdings auch in anderen Themes verwendet wurde – solltet ihr eure Installation auf das Vorhandensein dieser Datei überprüfen.

Wie immer kann ich nur raten regelmäßig seine Installation auf vorhandene Updates zu überprüfen und diese dann auch ein zu spielen.

Bitte beachtet, dass die Lücke auch dann besteht, wenn das Theme gar nicht aktiviert ist – es reicht, dass die Dateien in eurer Installation vorhanden sind!

Update:

Es stehen Updates bereit, siehe auch WordPress 4.1.5 und 4.2.2 sind erschienen

Wordpress Security

Im WordPress Plugin ‚Jetpack‘ von Automattic gibt es ein kritisches Sicherheitsproblem – darüber informiert ein Newsletter von Jetpack.

Jetpack

Laut Sucuri gibt es ein Problem mit ‚improperly escaped URLs‘.
Leider sind weder der verlinkte Sucuri Blog Eintrag, noch der verlinkte Jetpack Eintrag derzeit zu erreichen.

Ihr solltet aber alle dringend überprüfen, welche Version von Jetpack ihr einsetzt und entsprechend zügig updaten!

Update:

Die Version 3.4.3 ist im Plugin Directory verfügbar, im automatischen Download wird sie (mir) noch nicht angeboten.
Im Changelog steht nur relativ lapidar:

3.4.3

  • Security hardening.

Update 2:

Da geht noch mehr – bitte den Folgebeitrag beachten!

bruteprotect

Bruteprotect ist ein Plugin um die Sicherheit deines/r WordPress Blogs zu erhöhen.
Die Kernfunktion des Plugins besteht aus einer Cloud basierten Brute Force Angriffs Verhinderung. Wie genau das funktioniert wird leider nicht erklärt.
Ich konnte folgende Aussage eines der Entwickler bei WPTavern finden:

BruteProtect is sort of like Akismet, but for your WP login– we track failed logins across a large number of WordPress sites, then analyze that data to find patterns and identify attack bots. The larger our installed base, the more data we have to work with– this results in more complete protection for site owners and fewer false positives. To date, we’ve blocked over 1.3 million malicious login attempts from over 131,000 IP addresses.

Sprich, die fehlgeschlagenen Login Versuche auf den teilnehmenden Blogs werden analysiert und bewertet.
bruteprotect-july-statisticDerzeit nutzen fast 91000 Seiten das Plugin und im Juli 2014 vermeldet Bruteprotect, dass über 96 Millionen Angriffe verhindert wurden.

Neben dem Verhindern von Angriffen bietet das Plugin noch ein Monitoring, zeigt Online Zeit und Ausfälle an, kann sich um die Updates von Plugins und Themes kümmern und bietet Multisite Unterstützung.

Ihr könnt euch auf der BruteProtect Webseite einloggen und dort habt ihr einen Überblick über alle eure Seiten, von hier könnt ihr dann alle eure Seiten sehen und die Updates Remote durchführen, dass ist sehr hilfreich, wenn man keine andere Plattform nutzt um seine WordPress Installationen zu verwalten.

Nach der Übernahme von BruteProtect durch Automattic sind alle Funktionen gratis! Vermutlich wird BruteProtect in Jetpack einfließen.

Mein Fazit:

Der klare Vorteil einer solchen ‚Community‘ Lösung ist, dass ein Angreifer, sobald er als solcher identifiziert ist, auf allen teilnehmenden Seiten geblockt ist. Das hilft gegen Bot Netze und verteilte Angriffe.
Gesetzt den Fall, man hat sein Blog schon gesichert und es gibt nur eine Handvoll Benutzer, dann kann man sicherlich auf solch ein Plugin verzichten. Ein bereits geblockter Angreifer verursacht allerdings keine Last auf die Datenbank durch Anmeldeversuche.

Ein weitere Punkt ist, in wie weit die Nutzung möglicherweise in Deutschland gegen den Datenschutz verstößt, es werden ja offensichtlich IP Adressen der Besucher gesammelt und zur Analyse an BruteProtect gesendet. Ich warte hier auf eine Antwort des Herstellers.

Installation:

Nach der Installation und Aktivierung des Plugins findet ihr einen neuen Eintrag in der WordPress Seitenleiste ‚BruteProtect‘, wenn ihr diesen Auswählt landet ihr auf der Konfigurationsseite

bruteprotect api generieren

Hier klickt ihr dann auf den Link ‚Generate your access token‘ und müsst euch im folgenden Pop Up dann anmelden oder über euren wordpress.com Account einloggen

bruteprotect login

Ihr werdet dann zu einer Seite geleitet auf der euer API Key steht – diesen kopiert ihr dann ein, die Seite wird verlinkt und ihr landet im Bruteprotect Dashboard. Dort wird euch angezeigt, dass ihr verbunden seid und wieviele Angriffe bereits geblockt wurden.

bruteprotect-dash

 

Ihr könnt dann API&Privacy Settings noch die remote Funktionen Aktivieren / Deaktivieren, je nach dem, ob ihr das nutzen wollt oder nicht.

bruteprotect-privacy

Der hier angesprochene Malware Scan erschließt sich mir nicht so richtig, denn diese Funktion wird nirgendwo explizit erwähnt.

Im Dashboard seht ihr dann auch noch eine Liste aller installierter Plugins und Themes – von hier (oder aus dem Webdashboard) könnt ihr dann die Updates durchführen.

bruteforce plugin updates

Multisite:

Das Plugin ist, wie gesagt, Multisite fähig, wenn ihr eine WordPress Multisite Installation nutzt, dann aktiviert ihr das Plugin in der Netzwerkverwaltung – in diesem Fall benötigt ihr für das gesamte Netzwerk lediglich einen API Key. Eine Aktivierung auf den einzelnen Blogs ist nicht nötig!

Inkompatibilitäten:

Laut den Hersteller gibt es keine Probleme mit anderen Sicherheits Plugins – einige Funktionen sind natürlich dann ggf. mehrfach vorhanden.

Update 11.09.14:

Laut Information des Herstellers wird die komplette IP Adresse des Besuchers übertragen und in der Datenbank gespeichert. Daraus könnten sich Datenschutzrechtliche Bedenken ergeben, ob daraus dann personenbezogene Daten generiert werden können kann ich nicht bewerten. SOllte man auf jeden Fall im Hinterkopf behalten, wenn man das Plugin auf seinen Seiten nutzen möchte.