Beiträge

Sicherheit: Theme Makers – Informationsabfluss in Themes

theme makers

Aufgepasst falls ihr ein Theme von Theme Makers einsetzen solltet, hier gibt es ein Problem mit Informationsabfluss!

Durch einen Schwachstelle im Theme werden sensitive Benutzer Informationen im Verzeichnis /tmm_db_migrate/wp_users.dat gespeichert.
In dieser Datei stehen dann Angaben zu den Usern nach dem folgenden Format:

betroffen sind die unter anderem die folgenden Themes:

Diplomat | Political WordPress Theme
Car Dealer / Auto Dealer Responsive WP Theme
Invento Responsive Gallery/Architecture Template
Accio One Page Parallax Responsive WordPress Theme
Accio Responsive Parallax One Page Site Template
Axioma Premium Responsive WordPress Theme
Almera Responsive Portfolio WordPress Theme
Almera Responsive Portfolio Site Template
Goodnex Premium Responsive WordPress Theme
GamesTheme Premium WordPress Theme
Blessing Premium Responsive WordPress Theme
SmartIT Premium Responsive WordPress Theme

Als schnell Lösung, wenn ihr eines dieser Themes einsetzt, könnt ihr die entsprechende Datei löschen.

Ansonsten, wie immer -> updaten

VIA

Security: JetPack Plugin und TwentyFifteen Theme mit Sicherheitslücke

security

Es tut sich eine neue Lücke auf – dieses mal sind das TwentyFifteen Theme, standardmäßig in WordPress Installationen enthalten, sowie das Jetpack Plugin betroffen.
Genauer gesagt geht es um das hier enthaltene genericons Paket, welches laut Sucuri anfällig für einen DOM-basierten XSS Angriff ist. Schuld hieran ist die Datei example.html, welche hier enthalten ist.

Das Problem bei DOM-basierten Angriffen ist, dass es sich um einen lokal am Client ausgeführten Angriff handelt. Dieser lässt sich daher auch nicht Server seitig blockieren oder verhindern, etwa durch Webseiten Firewalls.
Allerdings muss die kompromitierte URL gezielt aufgerufen werden, was aber unbedarften Anwendern vermutlich nicht auffällt.

Das Problem lässt sich leicht lösen, indem man die example.html Datei aus dem genericons Verzeichnis löscht.
Soeben sind auch Updates für Jetpack sowie TwentyFifteen erschienen.

Da das genericons Paket allerdings auch in anderen Themes verwendet wurde – solltet ihr eure Installation auf das Vorhandensein dieser Datei überprüfen.

Wie immer kann ich nur raten regelmäßig seine Installation auf vorhandene Updates zu überprüfen und diese dann auch ein zu spielen.

Bitte beachtet, dass die Lücke auch dann besteht, wenn das Theme gar nicht aktiviert ist – es reicht, dass die Dateien in eurer Installation vorhanden sind!

Update:

Es stehen Updates bereit, siehe auch WordPress 4.1.5 und 4.2.2 sind erschienen

Sicherheit in WordPress – Tips und Tricks

idee

Sicherheit ist eins der Top Themen, wenn es um das Internet geht.
Sicherheit deiner Daten, Schutz deiner Infrastruktur – deines Rechners. Schutz vor Datenverlust, Schutz vor Angriffen, Schutz vor Spionage.
Und logischerweise geht es auch um Schutz deiner Webseite.

Fast 50% aller Webseiten welche ein CMS benutzen, setzen laut builtwith dabei auf WordPress.

WordPress Usage

Anteil WordPress Installationen – August 2014 – Quelle: builtwith.com

Das hat einen guten Grund – lockt aber auch Angreifer an. Bei der Entwicklung von WordPress wurde immer schon ein großer Augenmerk auf die Sicherheit gelegt, Updates kommen regelmäßig, wenn es mal ein Sicherheitsproblem gibt, dann wird dieses schnell adressiert. Jeder der sich entschließt WordPress für seine Webseite zu nutzen, sollte sich dennoch auch Gedanken über die Sicherheit seiner Webseite machen.
Diese folgenden Punkte solltet ihr auf jeden Fall beachten:

Datenbankprefix ändern

Bereits bei der Installation von WordPress könnt ihr einen Prefix für die Datenbanktabellen angeben, hier steht wp_ als Standard Wert in der Maske – diesen einfach auf einen anderen Wert ändern. Auch nach der Installation könnt ihr den Prefix ändern, am Besten mittels eines Plugins.

Benutzername ändern

Standardmäßig schlägt WordPress den Benutzernamen ‚admin‘ als Administrationsbenutzer vor, das solltet ihr in jedem Fall ändern. Die meisten brute force Angriffe erfolgen auf diesen Namen – ist der Name nicht vorhanden scheitern die meisten Bots direkt. Wenn ihr dann noch ein Plugin habt, welches die IP direkt blockt sobald sich jemand mit ‚Admin‘ versucht ein zu loggen, dann habt ihr einen großen Schritt gemacht. Ihr könnt auch überlegen, ob ihr zum Administrieren eurer WordPress Installation generell einen anderen Benutzer nehmt als zum schreiben eurer Artikel.

Benutzername in der Autoren Archiv URL verstecken

Was nutzt euch der abgewandelte Benutzer Name wenn ihr diesen dann im Autoren Archiv bzw. in der Autoren Verlinkung wieder zeigt? Ihr solltet unter den Benutzereinstellungen einen anderen Spitznamen und einen anderen Öffentlichen Namen für euren Benutzer auswählen
WP username
Dazu könnt ihr auch ein Plugin benutzen.

Sicheres Passwort verwenden

Ihr solltet immer ein sicheres Passwort verwenden, nicht nur für WordPress, und auf jeder genutzten Seiten dann auch noch ein anderes. Um das zu erreichen kann/sollte man einen Passwortmanager in Erwägung ziehen. Basierend auf den Listen mit gestohlenen Passwörter hat Splashdata eine Liste erstellt mit den am meisten genutzten Passwörtern, kommt euch da etwas bekannt vor – hoffentlich nicht

Die schlimmsten Passwörter 2013

Schlimmsten Passwörter 2013 – Quelle: splashdata.com

Updates

Kaum zu glauben, aber es gibt noch etliche überaltete WordPress Installationen da draußen. Ihr solltet immer darauf achten, dass ihr zumindest alle Sicherheitsupdates einspielt. Das gilt für WordPress, aber auch für eure Plugins und Themes. Vor einem Update natürlich ein Backup anfertigen.

Themes vor der Nutzung checken

In Themes lässt sich vortrefflich auch Schadcode einbauen. Themes lassen sich am Einfachsten über entsprechende Plugins prüfen, z.B. AntiVirus oder Theme Authenticity Checker -TAC. Ihr solltet Themes nur aus vertrauenswürdigen Quellen installieren, niemals von irgendwelchen Downloadportalen welche kostenpflichtige Themes gratis anbieten!

Backups

Ihr solltet in regelmäßigen Abständen eure Webseite sichern, Datenbank am Besten täglich, die Dateistruktur mindestens wöchentlich. Dafür benötigt ihr in der Regel ein Plugin, ich nutze hierfür BackWPup Free – aber werde hier auch noch weitere Alternativen vorstellen.

Das sind die wichtigsten Dinge welche ihr für eurer WordPress Installation beachten solltet.
Im Blog werde ich Plugins vorstellen mit denen ihr eure Sicherheit erhöhen könnt – wenn ihr Fragen habt, dann stellt diese einfach in den Kommentaren, dann werde ich darauf eingehen.

Sonstiges

Es gibt noch viele weitere Sicherheitsmaßnahmen, diese sind außerhalb der WordPress Installation vor zu nehmen, und hier benötigt man teilweise technisches Verständnis:

  • wp-config.php in ein höheres Verzeichnis als die WordPress Installation verschieben
  • WordPress Verzeichnis mittels .htaccess sichern
  • Dateiberechtigungen in Linux anpassen
  • Datenbank Benutzer Rechte anpassen

Wenn ihr einen eigenen Server für eure Webseiten benutzt, dann solltet ihr auch noch diese Punkte nicht außer Acht lassen:

  • Sicherheitsupdate des Betriebssystems
  • FTP Nutzung (Klartext Passwort Übertragung) vermeiden
  • Firewall Nutzung
  • Logging und Monitoring der Installation
  • Dateiänderungen verfolgen