Rein gefühlsmässig hat die Anzahl der Updates und Upgrades von WordPress in den letzten Monaten, nicht zuletzt durch diverse Sicherheitslücken, ziemlich zugenommen. Dass auf Sicherheitslücken rasch reagiert wird, ist nicht nur löblich sondern auch notwendig. Allerdings scheint im Kampf mit der Zeit auch die saubere Programmierung zu leiden, denn die Sicherheitsprobleme häufen sich. Kaum ist eine neue Version verfügbar, werden auch schon die ersten Exploits herumgereicht.
Neuestes Beispiel ist die knapp 13 Tage alte WordPress Version 2.2 „Getz“, wo aufgrund eines Fehlers die Tabelle wp_users ausgelesen werden kann. Voraussetzung dafür ist allerdings ein gültiges Login auf dem Blog des Opfers (ein einfaches „Registrierter Leser“-Konto genügt jedoch bereits). Einen Workaround beschreibt Alex auf seiner Seite:
Dazu muss in der Datei xmlrpc.php die Zeile 541 wie folgt geändert werden:
$max_results = (int) $args[4];
WordPress hat diesen Workaround gestern auch in die Entwicklerversion übernommen, im derzeit angebotenen Download-Paket ist die Änderung allerdings nicht enthalten.
Von den Usern selbst wird in vielen Fällen aber auch die Pflege der eingesetzten Plugins vernachlässigt, was nicht minder gefährlich ist. So zum Beispiel beim Plugin wp-db-backup, welches standardmässig bei den Installationspaketen von WordPress 2.0.x enthalten war. Bis zur wp-db-backup-Version 2.0 war es einem Angreifer nämlich möglich, sich die Datenbanktabellen bequem per eMail zusenden zu lassen. Abhilfe schafft das Update auf die Version 2.1.2 des Plugins. Aufgrund der Tatsache, dass das Plugin zusammen mit den WordPress-Installationspaketen ausgeliefert wurde, ist die „Chance“ gross, dass wp-db-backup nach wie vor in grosser Zahl in der fehlerhaften Version genutzt wird.
Es liegt also nicht nur an den WordPress-Entwicklern, für die entsprechende Sicherheit zu sorgen. Auch die Anwender sollten sich regelmässig Zeit nehmen, Plugins und eigene Erweiterungen zu überprüfen.
(via Clazh)
[Update]
Wenn wir schon gerade bei Schwachstellen von WordPress-Plugins sind: Ein aktueller Fall betrifft das AdSense-Deluxe-Plugin, wo offenbar die Adsense-ID ausgetauscht werden kann. Noch gibt es keinen offiziellen Bugfix, doch David Kierznowski stellt auf seiner Seite einen temporären Fix bereit.
Danke für den informativen Artikel!
Das mit der Sicherheit ist tatsächlich so eine Sache und bedarf einiges an Vorsicht und Aufmerksamkeit der Administratoren. Ich hatte bei mir mal ein nicht aktiviertes altes wp-mail plugin auf dem Server liegen, das ein netter Spammer gefunden hatte und damit in meinem Namen fleissig Mails versandt hat.
Ich hatte dann plötzlich hunderte von bounces in der Mailbox und konnte damit recht schnell das Problem beseitigen. Nichtsdestotrotz gehört für mich seit dem zu einer guten Pflege einer WordPress-Installation das Löschen von nicht mehr verwendeten Plugins dazu.
ist doch leider ein alter hut. weit verbreitete open source tools sind doch schon seit eh her ein beliebter angriffspunkt für hacker, scriptkiddies und konsorten, und je mehr so ein tool wächst, und je mehr leute daran mitarbeiten, desto mehr leidet in der regel die sicherheit.
@sms: Was sollte nicht „so einstimmig laufen“?
spam:))
@Robert: Das habe ich mir auch gedacht, darum hat er einerseits ein Nofollow aufgedrückt bekommen und andererseits noch eine halbe Stunde Zeit, seinen einstimmigen Kommentar ins richtige Licht zu rücken. Passiert nix, ist danach der ganze Kommentar verschwunden…
[Edit]: Und schwupps, der Kommentar ist gelöscht…
Autsch! Dieser Artikel riecht doch etwas streng nach Schuldzuweisung an den Endanwender – Der eigentlich mögliche Auslöser potentiel sich anbahnender Sicherheitsdebakel sehe ich doch nach wie vor in dem schlampigen Umgang mit der Sicherheitsfrage im Allgemeinen (nicht bei allen, aber bei vielen Projekten!) und dem extrem frühen Anpreisen von unfertigen Produkten (es leben die Public Betas). Ich, zumindest in einigen Fragen auch Endproduktanwender und ärgere mich sehr über diese „0815-Der-Kunde-Ist-Versuchskanichen“-Haltung gewisser Softwareentwickler (diese Kritik soll in keinster Weise nur für WP gelten).
@Martin Thomas: Natürlich hast Du, vor allem was die Beta-Geschichten angeht, nicht ganz unrecht. Allerdings setzt sich der User einem nicht gerade geringen Sicherheitsrisiko aus, wenn er angebotene Updates nicht installiert.
Bei Software wie z.B. WordPress ist das allerdings ungleich schwieriger zu managen, da der User hier nicht nur WP selbst „im Auge“ behalten muss, sondern zusätzlich noch die von ihm eingesetzten Plugins. Insofern kommt dem User tatsächlich eine gewisse „Aufsichtspflicht“ zu…
Man sollte auch die Themes nicht ganz vergessen. Wie heisst es doch heute auf Weblog Tools Collection zum Vistered-Little-Theme von Windy Road:
„The latest version that fixes the bug/vulnerability is 1.7.3 while versions 1.6a through 1.7.2 are all vulnerable.“
WordPress ist uberfat geworden, und für die Plugins und Themes gilt: zu viele Köche… Drupal wird als Alternative immer interessanter.
Das Problem ist nicht Open Source-Software, sondern die Verbreitung von Software – damit unter anderem und nicht als Open Source wird eine Software interessant für Angriffe aller Art.
Endanwender nutzen WordPress.com. Wer sich WordPress selbst installiert, ist Administrator und trägt die Verantwortung für die Sicherheit der verwendeten Software… wer WordPress-Plugins und -Themen unkritisch und ungeprüft installiert, hat für etwaige daraus resultierende Probleme selbst einzustehen.
@mds: Dann sollten die WordPress-Verantwortlichen das auch für uns Naivlinge hinschreiben: Wir liefern euch halbfertige und unsichere Soft – ihre Verwendung erfolgt auf eigene („deine“) Gefahr.
Nein, ich bleib dabei: Da hat es Ernsthafte (und Verantwortungsvolle), Schnellscheisser und Spekulanten, am Schluss auch noch Bösartige unter den „WP-Entwicklern“.
Reicht es als Gegenmassnahme aus, neue Registrierungen zu verbietn, wenn man davon ausgehen kann, dass die bekannten User nichts böses im Schilde führen?