WordPress & Webwork - perun.net

Über die kritische Sicherheitslücke im TimThimb habe ich im August 2011 berichtet. Bei TimThumb handelt es sich um eine Anwendung, die Bilder verkleinern, zuschneiden und Vorschaubilder erstellen kann. Mit der Version 2.0 wurde die Sicherheitslücke geschlossen, es existieren aber noch sehr viele Weblogs, die die alte Version aktiv haben und die dadurch entstandene Sicherheitslücke wurde in den letzten tagen massiv ausgenutzt:

• Tausende WordPress-Blogs zur Verbreitung von Schadcode genutzt
• Thousands of WordPress blogs hijacked to deploy malicious code

Wer Hilfe bei der suche und der Entfernung der Sicherheitslücke braucht, der findet auf WordPress.org eine Erweiterung mit dem Namen Timthumb Vulnerability Scanner. Auf jeden Fall sollte man bei der Suche nicht nur nach timthumb.php sondern evtl. auch nach einer thumb.php suchen.

Hier ein kleiner Hinweis, warum man den Standardadmin-Account bzw. den Standard-Admin-Namen (admin) in WordPress nicht nutzen sollte:

8 failed login attempts (2 lockout(s)) from IP: xxx.xxx.xxx.xxx

Last user attempted: admin

IP was blocked for 20 minutes

Und das hier ist nicht die erste Meldung, die ich in den letzten Wochen bekommen habe. Aber nicht nur admin, sondern wp-admin oder wp_admin sind beliebte Ziele solcher "Loginversuche". Als zusätzliche Maßnahme kann man per .htaccess solche IPs von der kompletten Website sperren:

order allow,deny
deny from xxx.xxx.xxx.xxx
allow from all

Siehe auch WordPress und Sicherheit: kleine Zusammenfassung.

Es ist knapp zwei Monate her wo ich die letzte Top-Liste veröffentlicht habe. Damals waren es die Top 15 Artikel des ersten Halbjahres. Jetzt folgt die Top 10 Liste, mit den Artikeln die in den letzten 30 Tagen am häufigsten aufgerufen wurden:

1. WordPress und Sicherheit: kleine Zusammenfassung
2. Was bringt WordPress 3.3?
3. Wie WordPress Joomla! abgehängt hat
4. WordPress: Themes die von der TimThumb-Sicherheitslücke betroffen sind
5. WordPress-Themes verstehen 1
6. WordPress: Inhalts- bzw. Werbeblöcke selbst gemacht
7. WordPress: Update auf 3.2.1 mit Datenbank-Schluckauf
8. WordPress: Artikelbilder (Post Thumbnails) aktivieren
9. WordPress: Plugins für Twitter Follow und Google +1
10. Neu in WordPress 3.2: Standard-Theme Twenty Eleven

Auch diesmal diente WordPress.com-Stats als Quelle. Wie man sieht, alles WordPress-Artikel. Neulich hat sich nämlich jemand beschwert ich würde gar nicht mehr über WordPress schreiben.

Da draußen gibt es etliche WordPress-Themes, kostenlose wie kostenpflichtige, die das PHP-Script TimThumb benutzen. Es handelt sich um eine Anwendung, die Bilder verkleinern, zuschneiden und Vorschaubilder erstellen kann. In diesem Script existiert eine Sicherheitslücke, die es ermöglicht unerwünschten Code einzuschleusen (siehe u.a. Golem.de).

Wer wissen möchte ob bei ihm dieses Script zum Einsatz kommt, der sollte auf dem Server im Themes-Ordner nach der Datei timthumb.php oder thumb.php schauen. Mittlerweile gibt es von dem Script auch eine aktualisierte Version, die diese Lücke geschlossen haben soll.

Auf Timthumb Security Vulnerability – List of Themes gibt es eine Auflistung von freien Themes, wo TimThumb zum Einsatz kommt.

Der Autor erwähnt aber selber, dass die Liste nicht vollständig ist. Daher sollte man vorsichtshalber auf jeden Fall die WordPress-Installation prüfen und gegebenenfalls das eingesetzte Skript aktualisieren.

mipan – Fotolia.com

Ich habe hier vor ein paar Wochen im Beitrag mit dem Namen Sicherheit: die Passwörter-Mythen auf einen Artikel verwiesen, wo die gängigen Vorurteile in Bezug auf Passwörter abgehandelt wurden.

Eines von diesen genannten Mythen ist, dass Passwortmanager per se unsicher seien.

Wer braucht einen Passwortmanager

Wer lediglich bei ein paar Dienste registriert ist, der braucht keinen Passwortmanager. Auch bei ein paar Diensten mehr kommt man mit klassischen Hilfsmitteln, wie es ein Notizbuch ist, gut zu Recht. (weiterlesen…)

Da mich in den letzten Tagen zwei Kollegen mit Links zum Thema WordPress und Sicherheit beschenkt haben. Dachte ich mir ich poste die Links in diesem Artikel, füge selber welche hinzu und mache am Ende eine kleine Zusammenfassung zu diesem Thema.

Der gute Freund und Kollege Jens Grochtdreis machte mich auf den Link Effective Security Practices and Plugins for WordPress aufmerksam. Kollege Ralph Segert machte mich wiederum auf seinen Artikel Zur Sicherheit: Leitfaden für WordPress-Kunden aufmerksam. (weiterlesen…)

Im Artikel unter der Überschrift Passwortmythen oder "Was Du schon immer über Passwörter wusstest, aber nie zu sagen wagtest" gibt es einen lesenswerten und umfangreichen Artikel zum Thema Sicherheit und Passwörter.

Folgende Themen werden in diesem Artikel besprochen:

• Mythos: Ein Passwort mit mindestens 8 Zeichen ist sicher
• Mythos: Ein drei Monate altes Passwort ist unsicher
• Mythos: Passwortmanager sind unsicher
• Mythos: Ganze Wörter in Passwörtern sind unsicher
• Mythos: MD5 ist unsicher
• Mythos: MD5 ist sicher

Ich persönlich nutze für die Verwaltung von Passwörter das kostenpflichtige Programm RoboForm. Dieses Programm integriert sich in Firefox, Internet Explorer und mittlerweile auch in Thunderbird, Opera und Google Chrome. Damit kann man nicht nur Passwörter verwalten und synchronisieren sondern auch lange Passwörter generieren und Formulare ausfüllen.

Durch dieses Programm habe ich es erreicht, für alle Dienste ein eigenes und vor allem ein langes Passwort einzusetzen. Das wäre bei den ganzen Diensten und Programmen die ich nutze, nur schwer zu machen. Sich um die 200+ Kombinationen aus Loginnamen und Passwort zu merken oder aufzuschreiben, würde über kurz oder lang dazu führen, dass man überall das gleiche Passwort einsetzt.