sicherheit | perun.net

Mal wieder etwas zum Thema WordPress und Sicherheit. Kaum habe ich gestern darüber berichtet, dass Sergej das Plugin Antispam Bee um eine Anti-Malware-Maßnahme nachgerüstet hat, da legt der Kerl schon wieder nach.

Er hat ja vor einiger Zeit das Plugin AntiVirus für WordPress veröffentlicht, welches die Installation oder besser gesagt die Themes vor Viren, Würmern, Malware und anderen Seuchen schützt. Mehr dazu auf der Info-Seite.

Nun hat er auch dieses Plugin um eine zusätzliche Funktion erweitert. Das Plugin verbindet sich täglich mit Google Safe Browsing und fragt nach ob die jeweilige Website frei von "Infektionen" ist.

Ist die WordPress-Installation befallen, dann wird der Webmaster per E-Mail vom Plugin benachrichtigt.

Siehe auch die Info von Sergej auf Google+.

Hier ein paar Links zum Thema WordPress, die sich in meinem Browser in den letzten Tagen angesammelt haben:

• Mit Hilfe des Plugins User Locker kann man einen Nutzer-Account (vorübergehend) deaktivieren, wenn eine bestimmte Anzahl an ungültigen Loginversuchen verzeichnet wird.
• Am 27. Mai feiert WordPress seinen 10. Geburtstag. Wer weiß, vielleicht wird an diesem Tag, quasi als Geschenk, die Version 3.6 veröffentlicht.
• Das Plugin ist zwar ein bisschen in die Jahre gekommen, funktioniert aber dennoch: Feed für Entwürfe. Nützlich für Installationen, wo mehrere Autoren aktiv sind.
• Auf Create WordPress Shortcodes findet man eine kleine Anleitung, wie man eigene Shortcodes erstellen kann
• Heute konnten einige große Hoster Angriffe auf WordPress-Installationen verzeichnen. Ich vermute mal, dass dies der Grund war warum heute einige Websites teilweise schwer erreichbar waren. Falls auf deiner WordPress-Installation das Plugin Limit Login Attempts nicht vorhanden ist, wäre jetzt ein passender Zeitpunkt es zu installieren.

Das Plugin Limit Login Attempts habe ich hier auf perun.net an mind. zwei Stellen genannt (hier und hier). In regelmäßigen Abständen bekomme ich von dem Plugin folgende Meldung:

8 failed login attempts (2 lockout(s)) from IP: xx.xxx.xxx.xx

Last user attempted: admin

IP was blocked for 24 hours

Es wurde mal wieder eine IP geblockt von der mehrere ungültige Loginversuche in einem bestimmten Zeitraum stattfanden. Das automatische Loginversuche auf den Nutzernamen admin stattfinden ist ein alter Hut.

Einstellungen von Limit Login Attempts

Deswegen sollte man hier entweder den admin durch einen Administrator-Account mit einem individuellen Namen ersetzen oder eben das Limit Login Attempt oder eine ähnliche Lösung installieren.

In den letzten Wochen konnte ich allerdings beobachten, dass vermehrt automatische Loginversuche auf andere Nutzernamen stattfanden, wie zum Beispiel: webmaster, test, demo, author und editor. Ich möchte keine Panik machen, aber ich kann mir gut vorstellen, dass es nicht mehr lange dauern wird bis es Loginversuche auf john, michael, chris etc. geben wird.

Daher würde ich auf jeden Fall empfehlen, dass man eine Begrenzung der Loginversuche einrichtet.

…und das musste auch Reuters feststellen, wenn man dem Artikel im Weblog von Wall Street Journal glauben darf.

Worum geht es? Vor einigen Tagen tauchten in der Blog-Plattform von Reuters diverse Falschmeldungen auf. Wie mittlerweile berichtet wird, wurde dort noch immer WordPress 3.1.1 eingesetzt und das haben anscheinend die Angreifer ausgenutzt.

Wie wir alle wissen ist momentan 3.4.1 aktuell und seit WordPress 3.1.1 – diese Version wurde im April 2011 veröffentlicht – wurden diverse Sicherheitslücken geschlossen.

Deswegen: immer schön die WordPress-Installationen aktuell halten … aber das wisst ihr ja schon.

Gefunden auf Heise.de

Ich weiß nicht wie es bei euch geht. Aber im Moment bekomme ich so in etwa 2-Minuten-Rhytmus folgende E-Mail:

8 failed login attempts (2 lockout(s)) from IP: xx.xxx.xxx.xx

Last user attempted: admin

IP was blocked for 24 hours

Mittlerweile sind das mehr als 20 E-Mails. Die Nachrichten werden von dem WordPress-Plugin Limit Login Attempts verschickt. Diese Erweiterung habe ich bereits hier beschrieben.

Dieses Plugin notiert Loginversuche. Gibt es von einer IP innerhalb eines festgelegten Zeitraumes zu viele Login-Versuche, auch diese zahl kann man festlegen, dann wird diese IP für einen festgelegten Zeitraum gesperrt. Das ist eine recht effektive Maßnahme um die sog. Brute-Force-Attacken zu erschweren.

Momentan gibt es, wie bereits erwähnt, einige Loginversuche, die auf den Loginnamen admin, demo, test und wordpress abzielen.

Deswegen ist, wie ich es schon hier ausführlich beschrieben habe, nicht nur wichtig das Limit Login Attempts zu installieren sondern neben einem sicheren Passwort auch einen Loginnamen zu wählen, der sich von den üblichen Angaben wie z. B. admin unterscheidet.

Nach LinkedIn ist anscheinend auch Last.fm dran. Die Nutzer dieses Dienstes werden gebeten das Passwort entweder zu ändern oder es zurückzusetzen.

Weitere Infos:

• Last.fm Password Security Update
• Another hack? Last.fm warns users to change their passwords

Noch wurde das offiziell nicht bestätigt, aber wenn man den Berichten auf Golem.de und Heise.de glauben soll…

• LinkedIn möglicherweise gehackt
• LinkedIn-Passwörter im Umlauf

… dann schaut es wohl so aus, dass LinkedIn möglicherweise gehackt wurde. Ob das jetzt tatsächlich stimmt oder nicht, aber ein Passwort-Wechsel war eh schon seit einiger Zeit geplant, deswegen habe ich es vorhin geändert.

Und Dank so Programmen wie RoboForm ist der zusätzliche Verwaltungsaufwand minimal.