perun.net – WordPress & Webwork



Alte WordPress-Versionen unter Beschuss

Von am 05. 09. 2009 um 17:15

So wie es momentan ausschaut stehen schon einige WordPress-Weblogs, auf denen alte Versionen zum Einsatz kommen, unter Beschuss. Die Devise ist es euren bzw. eure WordPress-Weblogs so schnell wie möglich auf die neueste Version zu aktualisieren.

Hinweise auf den Angriff

Es gibt zwei Hinweise dass dein Weblog attackiert beziehungsweise gehackt wurde. Zum einen gibt es einen weiteren Administrator. Also bitte in der Benutzerverwaltung prüfen ob bei euch nicht ein neuer Administrator eingerichtet wurde.

Zum anderen wurde die Permalinkstruktur geändert:

[...]/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/[...]

Wichtig in diesem Zusammenhang sind die Begriffe eval und base64.

Gehackt und was nun?

Falls dein altes WordPress-Weblog gehackt wurde, dann wird momentan folgendes empfohlen: nicht die MySQL-Datenbank sichern sondern den Blog-Inhalt mit der WordPress-eigenen Funktion ("Werkzeuge" » "Daten exportieren") exportieren. Anschließend die eigenen Dateien von /wp-content/ und die wp-config.php sichern und dann die Installation inkl. Datenbank komplett löschen.

In diesem Zug wäre es auch ratsam mal die Passwörter bei dem Hoster (FTP, DB etc.) zu aktualisieren. Danach WordPress neu installieren, die eigenen Dateien hochladen und dann die exportierte XML-Datei importieren … und natürlich nicht vergessen einen ganz neuen Administrator (individueller Nutzername und neues Passwort) zu erstellen und den automatisch generierten Admin-Account hinterher zu löschen.

Wie schütze ich mich beziehungsweise meine WordPress-Installation

Momentan schaut es so aus, dass die aktuelle Version von WordPress (2.8.4) vor solchen Angriffen sicher ist. Also würde ich jedem empfehlen, der eine alte WordPress-Version nutzt, so schnell wie möglich zu aktualisieren.

Ich wünsche euch hierbei viel Glück, Erfolg und eine saubere WordPress-Installation.

Quellen: Lorelle on WordPress und WPBeginner.com. Via Twitter beziehungsweise via Frank Bültge.

Falls jemand weitere Vorschläge, Hinweise und Korrekturen hat: einfach einen Kommentar abgeben. Vielen Dank!

Diesen Artikel weiterempfehlen:

Premium WordPress Themes

Verwandte Artikel:

 — 


20 Kommentare

  1. 1.Praxiswissen WordPress » Angriffswelle auf alte WordPress-Versionen

    Pingback vom 05.09.2009 um 18:01

    [...] Vlad Perun in seinem Blog berichtet, stehen alte WordPress-Versionen aktuell unter Beschuss, erkennbar an einem neuen Admin-Konto und [...]

  2. 2.Sergej Müller

    Kommentar vom 05.09.2009 um 18:21

    Ich hatte heute morgen auf Twitter auf die Problematik hingewiesen und gleichzeitig einen Link mit eleganter Lösung angehängt, die das Problem in wenigen Klicks beseitigt. Aber wer liest schon meinen Twitter-Stream, ne ;)

  3. 3.Perun

    Kommentar vom 05.09.2009 um 18:25

    @Sergej,

    danke für den Link. Mir persönlich wäre der einfache Weg zu brenzlig, aber ich bin auch kein Sicherheitsexperte.

  4. 4.Sergej Müller

    Kommentar vom 05.09.2009 um 18:47

    Jederzeit, wo solche Sicherheitsalerts die Runde machen, frage ich mich: WIE OFT sollte man die WordPress-Nutzer auf die Absicherung des Administrationsbereichs hinweisen? Denn all diese Attacken würden ins Leere laufen, wenn das Backend dicht wäre – mit einfachem simplen .htaccess-Eintrag.

    Ich hatte meinen Artikel mit den 10 Ratschlägen im eigenen Blog und bei Smashing Magazine veröffentlicht. Müsste doch jeder kennen oder? ;) Aber nein, im Februar auf dem WordCamp hatten alle über den Artikel gelacht und als nutzlos betrachtet.

    Aber das ist immer so: Sicherheitstipps ignorieren und später Stunden, Tage beim Restoren der Daten verbringen. Naja, aus Fehlern lernt man, hoffentlich.

  5. 5.Björn

    Kommentar vom 05.09.2009 um 20:17

    Hallo,
    ich war zum Glück nicht von dem Hack betroffen jedoch liest man auf fieser-admin.de, dass der weitere Administrator im WP-Adminbereich nicht sichbar sein soll!

    Ist vielleicht noch mal interessant zu erwähnen!

  6. 6.Perun

    Kommentar vom 05.09.2009 um 21:21

    @Sergej,

    was du in dem Zusammenhang nicht vergessen darfst ist z. B. die Tatsache, dass viele Hoster keinen Zugriff auf die .htaccess erlauben. Damit sind z B. viele Schutzmaßnahmen nicht möglich.

    Und auch all-inkl bietet standardmäßig lediglich den Einsatz von SSL-Proxy (https://ssl-account.com/domain.de) damit kann man dann auch nicht den Admin-Bereich verschlüsseln … zumindest define('FORCE_SSL_ADMIN', true); erwartet https://www.domain.de. Hier müsste man schauen welche Möglichkeiten es noch gibt.

  7. 7. – Update auf WordPress 2.8.4 unbedingt empfohlen » Der Multimediablog

    Pingback vom 05.09.2009 um 22:01

    [...] perun.net und fieser-admin.de empfehlen derzeit unbedingt auf WordPress 2.8.4 zu aktualisieren, sofern noch eine alte Version zum Einsatz kommt. Der Blog auf fieser-admin.de wurde bereits attackiert. [...]

  8. 8.Sergej Müller

    Kommentar vom 05.09.2009 um 22:02

    @Perun
    Schon richtig. Will nur zum Ausdruck bringen, dass man selbst als Betreiber aktiv werden sollte und nicht notwendige, von extern zugängliche Funktionen wie z.B. die Nutzeranmeldung abschalten.

    Ich bin der Meinung, dass man dann doch den Hoster wechseln sollte als Opfer einer Attacke zu werden. Aber du hast schon Recht, jeder entscheidet selbst. Finde ich nur schade.

  9. 9. – Dieter

    Kommentar vom 06.09.2009 um 00:08

    Danke für den Hinweis auf den Angriff. Glücklicherweise habe ich es trotz des hohen Speicherbedarfs von WordPress 2.8.x geschafft, alle meine Blogs schon auf WP 2.8.4 zu aktualisieren.

    Der Artikel von Sergej mit den 10 Sicherheitsratschlägen ist lesens- und befolgenswert. Mit den richtigen Schutzmaßnahmen in der .htaccess-Datei kann man schon deutlich das Schutzniveau erhöhen.

    Darüber hinaus werde ich mir das Sicherheitskapitel aus dem neuen Buch von Frank Bültge in Kürze durchlesen und so gut es geht umsetzen.

  10. 10.Update auf WP 2.8.4 « welt-held.de

    Pingback vom 06.09.2009 um 09:16

    [...] nachdem es bei Perun oder bei Marcel bekannt gegeben wurde, habe ich mich ja mal gewogen gefühlt, doch noch auf die [...]

  11. 11.Ralf

    Kommentar vom 06.09.2009 um 13:18

    Was sind denn die "alten Versionen"? Zählt die 2.7 auch schon dazu? Wenn ja, dann werde ich demnächst WordPress endgültig den Rücken kehren. Denn, so wie Dieter es schon schrieb, hat nicht jeder den passenden Server parat der das Speicher-Monster WordPress noch beherrscht. Auch hat nicht jeder Bedarf für unzähligen Funktionen die Wp bereit stellt, sondern hätte lieber weiterhin ein einfaches (!) Blogsystem mit dem man schlichtweg bloggen kann.
    In den Zusammenhang einfach mal darauf verweisen auf die neueste Version upzudaten, finde ich, gelinde gesagt, arm. Gerade wenn man von einer etwas älteren WP-Version auf die aktuellste updatet, häufen sich die Probleme.

    Die Frage die mich am brennendsten interessieren würde, wie der Hack nämlich zustande kam, wird leider nicht beantwortet. Lag es daran das die betroffenen Blogs so "sichere" Passwörter wie "Schatzi" und "1234" verwendet haben? Dann kann man sich das Updaten gleich mal sparen. Genauso wie man sich in so einem Fall den .htaccess-Schutz schenken kann.
    Oder sind die Angreifer (mal wieder) über eine Schwachstelle in WP in das System eingedrungen? Dann ist es irgendwie nur eine Frage der Zeit bis eine vergleichbare Schwachstelle auch in der neusten Version auftaucht und das Spiel von vorne los geht.

    Ich habe so langsam das Gefühl das solche Angriffe vom WordPress-Team initiiert werden damit die Leute ja auch alle brav auf die neueste Version updaten und man sich um die älteren Versionen nicht mehr kümmern muss.

  12. 12.Sergej Müller

    Kommentar vom 06.09.2009 um 13:45

    Ralf, es sind wirklich alle WP-Versionen betroffen, außer der zZ. aktuellen.

  13. 13.Angriffe auf alte WordPress-Installationen | Webseiten-Infos.de

    Pingback vom 06.09.2009 um 14:12

    [...] Ein sicheres Indiz sind wohl aber geänderte Permalinks (siehe hierzu den Blogbeitrag "Alte WordPress-Versionen unter Beschuss" von [...]

  14. 14.Perun

    Kommentar vom 06.09.2009 um 14:19

    @Dieter,

    ich höre von einigen Leuten, dass bei denen der Speicherverbrauch zu hoch sei. Ich setze mittlerweile mehr als 26 Plugins ein und auch die deutsche Sprachdatei und bei mir liegt der Speicherverbrauch bei 22,7mb (35%).

    Könnte hier nicht evtl. die Servereinstellung oder z. B. der Einsatz der Versions-Verwaltung der Artikel eine Rolle spielen? Frage an die Server-Experten.

    Nachtrag: habe jetzt die Antwort auf meine Frage gefunden.

  15. 15.Bookmarks der Woche - Webworker Blog - Social Media - Online-Marketing - Suchmaschinenoptimierung

    Pingback vom 06.09.2009 um 15:25

    [...] Pflichtlink – WordPress unter Beschuss [...]

  16. 16. – Alte WordPress-Versionen unter Beschuss | Dackworld

    Pingback vom 07.09.2009 um 07:53

    [...] Infos gibt es bei Perun, des weiteren kann ich nur jedem Blogger den Artikel "Sicherheit in WordPress: 10 Schritte [...]

  17. 17.Tweetbacks zu diesem Artikel

    Pingback vom 07.09.2009 um 09:05

    [...] This post was mentioned on Twitter by Jan Schnitzler, Soziserver, Christoph Hörl, uploadmag and others. Jan Schnitzler said: Guten Morgen und Achtung an alle #WordPress Nutzer: #Angriffe auf alte Versionen, ggf. updaten! >>> http://bit.ly/wAs25 [...]

  18. 18.Andy

    Kommentar vom 07.09.2009 um 15:15

    Bei mir war das Problem mit der Peramlinkstruktur, aber einen weiteren Administrator wurde keiner angelegt….!!

  19. 19.Sergej Müller

    Kommentar vom 07.09.2009 um 15:27

    Andy, denkst du auch dran, dass der "Administrator" unsichtbar gemacht wurde…

  20. 20.Wordpress mit großem Sicherheitsproblem « AdClicks-Agent.de

    Pingback vom 07.09.2009 um 16:43

    [...] Ausschließlich WordPress 2.8.4 gilt derzeit als sicher. Das Schlimme: Alle anderen Versionen sind ausnahmslos [...]

Hinweis:
WordPress 3.8 für Autoren & Redakteure (pdf)
Ausdruckbar, Volumenlizenzen zu sehr fairen Preisen.

Tut mir Leid, aber die Kommentar-Funktion ist momentan deaktiviert.



Weblog der perun.net webwork gmbh mit Artikeln zum Thema WordPress, Webwork, und Internet.