Da verwundert es nicht, dass WordPress-Installationen auch besonders häufig das Ziel von Angriffen sind, mit denen Schadcode eingeschleust wird (siehe hierzu beispielsweise den Blogbeitrag “WordPress-Wurm treibt sein Unwesen: Blogger als Sicherheitsrisiko” von Sergej Müller).

Sergej Müller hat sich dieses Problems angenommen und zur Überprüfung, ob das jeweils aktive WordPress-Theme mit Schadcode infiziert ist, ein Antivirus-Plugin geschrieben.

Ich habe dieses Plugin heute testweise installiert und unter Einstellungen – AntiVirus einen manuellen Scan gestartet.

Das Ergebnis: Es wurde mir verdächtiger Code in einigen Dateien meines aktiven Themes YAML Green gemeldet.

Meine Kontrolle der Codezeilen ergab, dass es sich dabei um die von mir eingefügten JavaScripte für Seitzeichen und Google Maps handelte. Deshalb bestätigte ich diese Theme-Dateien als virenfrei. Eine erneute manuelle Überprüfung ergab, dass nun das Plugin die Bestätigungen, dass es sich um unbedenkliche Skripte handelt, berücksichtigt und keine Warnungen mehr anzeigte.

Natürlich darf und solltest Du Deine Sicherheitsaktivitäten bei WordPress nicht auf dieses WordPress-Plugin beschränken. Aber: Es ist eine sehr wertvolle Hilfe bei der Jagd nach Schadcode in einem Theme. Durch die Option täglich das aktive Theme automatisch auf Schadcode überprüfen zu lassen und bei Warnungen eine automatische Mail an den Bloginhaber zu senden, wird das Sicherheitsniveau erhöht und wirst Du im Falle einer Infizierung des Themes mit Schadcode im Zweifel schneller darauf aufmerksam.

Deshalb teile ich auch das dumme WordPress-Nutzer unterstellende Fazit des Beitrags “Wer braucht ein AntiVirus-Plugin für WordPress?” bei Dr. Web in keinster Weise.

Ich kann den Einsatz des Antivirus-Plugins ebenso wie den von weiteren WordPress-Plugins des Programmierers Sergej Müller (beispielsweise Antispam Bee und wpMAPS (siehe hierzu auch meinen Blogbeitrag “Karte mit WordPress-Plugin wpMAPS” )) nur empfehlen.

Nachtrag vom 18. April 2010

Mit der Version 0.7 von wpAntiVirus erweiterte Sergej Müller die Prüfung nach Schadcode im aktiven Theme.

Mir fiel nach der Aktualisierung (dem Update) auf die Version 0.7 auf, dass nun der Einsatz von include in den Dateien des Themes als Gefahrenquelle hervorgehoben wird.

Da ich das Theme YAML Green um relativ viele includes ergänzt habe, nahm zwar die manuelle Überprüfung etwas Zeit in Anspruch, aber nun kann ich mir auch sicher sein, dass mir auf dem Webspace keine zusätzlich includierte Datei untergeschoben wurde.

Desto besser Du das bei Dir eingesetzte WordPress-Theme kennst, umso besser kannst Du beurteilen, ob die vorhandenen includes verhanden sein dürfen oder nicht. Laien dürfte diese erweiterte Funktionalität immerhin dann etwas bringen, wenn sich nach Aktualisierung (Update) des Plugins und manueller Bestätigung der bestehenden includes danach noch neue includes auftauchen.

Für mich ist das eine sehr hilfreiche Erweiterung der Sicherheitsüberprüfung, denn ich möchte nicht manuell nach includes in den Theme-Dateien suchen müssen. Ein herzliches Dankeschön an Sergej!

Kommentare

• 11. April 2009, Sergej Müller schreibt: Gut erkannt, noch besser formuliert. Thanks für den Artikel.
• 11. April 2009, Dieter schreibt: @Sergej Du hast ein Sicherheitsproblem erkannt und ein sehr nützliches Plugin dafür geschrieben. Danke für Deine guten und hilfreichen WordPress-Plugins.
• 27. November 2009, Maria schreibt: Wunderbar, wieder ein Sicherheitsproblem weniger!
• 27. November 2009, Dieter schreibt: Freut mich! Und hättest Du zu einer WordPress-Präsenz von Dir verlinkt, hätte ich möglicherweise auch nicht den Link entfernt. ;-)
• 21. Dezember 2011, Sicherheit von WordPress verbessern | Webseiten-Infos.de schreibt: [...] von Sergej Müller (siehe hierzu auch meinen Blogbeitrag “Antivirus-Plugin verbessert Sicherheit” und die alte Website für das [...]

Ähnliche Beiträge

• Spamschutz nur mit Antispam Bee
• Sicherheit von WordPress verbessern
• Angriffe auf alte WordPress-Installationen
• BSI warnt vor Internet Explorer
• Die 10 größten Web-Security-Mythen

Permalink | 5 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Antivirus, Plugins, Schadcode, Sicherheitslücken, WordPress

Laut Heise Security ist mit einem Schließen dieser Lücke in nächster Zeit nicht zu rechnen!

Deshalb meine Empfehlung: Den Internet Explorer durch einen anderen Browser ersetzen. Alternativen gibt es genug!

Der Vollständigkeit halber hier noch der Wortlaut der Meldung bei Heise.de:

Wenn man ein Bild im Internet Explorer öffnet, kann es gut sein, dass dieser zu der Auffassung gelangt, dass es sich dabei eigentlich um HTML-Code handelt und sogar eingebettete Scripte ausführt. Gefährdet sind vor allem die Besucher von Web-Seiten, bei denen Benutzer selbst Bilder hochladen können.

Das Ganze war eigentlich als Schutzfunktion gedacht: Beim Öffnen einer Datei verlässt sich der Internet Explorer nicht blind auf möglicherweise falsche Anzeichen wie Dateinamen oder den MIME-Typ, den der Server übermittelt. Gibt es Grund zum Zweifel, etwa weil widersprüchliche Angaben vorliegen, schaut er in die Datei hinein und entscheidet an Hand des Inhalts, wie sie zu behandeln ist. Dieses sogenannte MIME-Sniffing kann dann sogar dazu führen, dass er in einer Bilddatei HTML-Code entdeckt, diesen rendert und eingebettetes JavaScript ausführt. Dieser Script-Code läuft dann im Kontext der Website und kann beispielsweise die Zugangsdaten des Anwenders ausspionieren.

Deshalb sollten die Betreiber von Webseiten, bei denen Anwender Bilder hochladen können, Typ und Inhalt der Bilder prüfen, bevor sie diese online stellen. Alternativ können sie die Bilder auch konvertieren, um eventuell eingebetteten Code zu entfernen. Den genauen Hintergrund und Demonstrationen des Problems präsentiert ein Hintergrund-Artikel auf heise Security.

Siehe dazu auch:

• Gefährliches Schnüffeln, MIME-Sniffing im Internet Explorer ermöglicht Cross-Site-Scripting-Angriffe auf heise Security
• MIME sniffing in Internet Explorer enables cross-site scripting attacks englische Version auf heise Security/UK
• Passwortklau für Dummies, oder warum Cross Site Scripting wirklich ein Problem ist Hintergrund-Artikel auf heise Security

Kommentare

• 16. Februar 2009, Ute schreibt:

  Deshalb meine Empfehlung: Den Internet Explorer durch einen anderen Browser ersetzen.

  ;-) Für die Empfehlung ist als Grund noch nicht einmal diese Lücke nötig. ;-)
• 16. Februar 2009, Dieter schreibt:

  Für die Empfehlung ist als Grund noch nicht einmal diese Lücke nötig.

  Stimmt, dafür gibt es unzählige Gründe. Aber bei jedem neuen Grund erinnere ich gerne an die Empfehlung! :-) Bei Gelegenheit werde ich mal die Gründe auflisten.
• 16. Februar 2009, Ute schreibt:

  Bei Gelegenheit werde ich mal die Gründe auflisten.

  Ups, das wird aber ein ausführlicher Beitrag. ;-)
• 16. Februar 2009, Dieter schreibt:

  Ups, das wird aber ein ausführlicher Beitrag.

  Jepp! Damit das überhaupt zu leisten ist, gibt es das Ganze dann in Listenform.
• 1. Juni 2009, Blogger schreibt: Ich weis nicht, trotz aller Lücken in den Systemen ist mir bisher noch nichts passiert und ich bin schon ein Power User. Wird hier mehr Wind gemacht als nötig?
• 1. Juni 2009, Dieter schreibt:

  Ich weis nicht, trotz aller Lücken in den Systemen ist mir bisher noch nichts passiert

  Jetzt schon. Bei Deinem SEO-Kommentar habe ich den Link zur Webseite entfernt und den Namen vom Suchbegriff befreit! ;-)

  Wird hier mehr Wind gemacht als nötig?

  Nein, aber wer versucht einen SEO-Kommentar für einen Online-Bezahlungsdienst zu platzieren, hat offensichtlich ein Interesse daran, dass Sicherheitslücken nicht publik werden oder versucht zumindest solche Lücken klein zu reden. Der Versuch ist hier aber nach hinten los gegangen!

Ähnliche Beiträge

• Sicherheitslücke war lange bekannt
• IE 8 in Conditional Comment einbezogen
• Der Internet Explorer 8 ist veröffentlicht
• Internet Explorer CSS vorenthalten
• BSI warnt vor Internet Explorer

Permalink | 6 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Bilder, Code, Internet Explorer, Schadcode, Sicherheitslücken, Web 2.0-Dienste