1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Malware-Kampagne gegen WordPress-Webseiten

Dieses Thema im Forum "Allgemeines" wurde erstellt von Presskopp, 19. September 2015.

  1. Presskopp

    Presskopp Well-Known Member

    Registriert seit:
    18. März 2011
    Beiträge:
    859
    Zustimmungen:
    0
  2. Brawler

    Brawler Gast

    Ich redefiniere:

    "WordPress-Nutzer sollten weitestgehend auf den Einsatz von Plugins verzichten"!

    Bei einem Großteil der Plugins ist

    a) die Realisierung im Rahmen der Programmierung sehr dürftig und
    b) werden nicht mal einfachste Sicherheitsmaßnahmen ergriffen.

    Oben drauf kommen dann noch laienhaft zusammengeschusterte (sorry) Themes.

    Millionenfache Verbreitung, keine echte Kontrolle des Repositories und für jede Kleinstanforderung wird ein Plugin installiert. Irgendwie kann man da nicht mehr wirklich helfen...
     
  3. Presskopp

    Presskopp Well-Known Member

    Registriert seit:
    18. März 2011
    Beiträge:
    859
    Zustimmungen:
    0
    @Brawler: Ist das ein Abgesang auf WP? Oder nur eine globale Verurteilung dessen Benutzer? ;)
     
    #3 Presskopp, 19. September 2015
    Zuletzt bearbeitet: 19. September 2015
  4. borusse

    borusse Gast

    Ich habe mal den Scanner der im Artikel verlinkt ist laufen lassen bei meinen Blogs. Bei den auf Subdomains laufenden Blogs hat er noch nicht einmal die richtige WP Version gelesen.

    Wenn man so ein weit verbreitetes System wie WP nutzt, kann man schon mit rechnen das sich die Hackerdödels daran verstärkt versuchen. Sollten sie damit immer erfolgreicher werden, wäre das ja theoretisch das aus für alle Hobbyblogger die aus Spaß an der Freude dem Hobby nachgehen. Viele werden froh sein die Seite zum laufen gebracht zu haben und das war es. Einige werden sich auch dann noch um ihre Seite kümmern und die nötigen Updates machen und noch weniger verstehen dann soviel um sich so gut wie möglich gegen das hacken zu schützen.
    Das Internet gehört dann in Zukunft nur noch denen die es aus beruflichen Gründen nutzen und entsprechend Geld in die Sicherung ihrer Webauftritte stecken. Der Rest liest nur noch.
     
  5. Marcus[IS]

    Marcus[IS] Well-Known Member

    Registriert seit:
    23. August 2009
    Beiträge:
    5.955
    Zustimmungen:
    175
    Den Scanner von Sucuri gibt es aber nicht erst seit gestern, auch wenn es sich auf dem Ersten Blick im verlinktem Artikel so liest.

    Andere Forenmitglieder und auch ich haben schon öfter bei Anfragen hier auf diesen Scanner verwiesen, wenn jemand den Verdacht äußerte das etwas im Blog nicht ganz koscher war und Verdacht auch Befall bestand.

    Das mit den Versionsnummern kann ich allerdings bestätigen, aber das ist nicht nur bei den WP Versionsnummern so. ;)

    Es ist zwar nicht das ultimative Dingen, aber zumindest kann man mithilfe des Scanners verdächtigen Skripten auf die Spur kommen und das ist auch schon mal eine kleine Hilfe wenn man auf Ursachenforschung gehen muss.

    Wenn man allerdings für jeden Piep ein Plugin benötigt und sich nicht die Mühe macht mal zu schauen, ob es auch manuell irgendwie umgesetzt werden kann, darf man sich nicht wundern wenn die WP Installation zu anfällig wird.
     
  6. Brawler

    Brawler Gast

    Psst, beides! :)

    WordPress wäre gut, wenn es mehr Sicherheit bieten würde. Und mehr Freiheiten. Muss sich nicht beissen... :D

    Stattdessen benötigt man Plugins, die Plugins überprüfen. Verkehrte Welt?
     
  7. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    ich wäre schon glücklich, wenn Leute nicht "nulled" Plugins oder Themes verwenden täten, oder sogar bei mir via Texto anfragen wo man sowas finden kann...

    seltenst euronen-arme Menschen, sondern hie und da Firmen mit mehr als 200 MitarbeiterInnen (!)

    und diese "im WWW muss alles kostenfrei sein Unkultur" ist wahrlich cms unabhängig
     
  8. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Den Satz würde ich erweitern um: nicht verwendete Themes / Plugins löschen.

    Datensicherung erstellen(!) da es sich um einen optimierten Zero-Day-Exploit Angriff handelt.

    und https://blog.sucuri.net/ lesen ist für WordPress Webmaster doch eigentlich pflicht?
     
  9. Fehlfarbe

    Fehlfarbe Member

    Registriert seit:
    7. März 2013
    Beiträge:
    12
    Zustimmungen:
    0
    Der Thread macht mir ein wenig Sorgen. Meine Blog ist privat; nutze einen Seitenschutz über meinen Webhoster & noch einen im Design. Frage: Ist es sicherer (weil schwerer auffindbar) wenn ich den Blog noch in einen Unterordner verschiebe? Oder ist das ein Denkfehler?

    Mal ganz davon ab dass ich wenige Plugins nutze und alles auf dem neuesten Stand ist. Danke euch!
     
  10. Brawler

    Brawler Gast

    Denkfehler!

    Ansonsten auch hier für die Interessierten: http://codex.wordpress.org/Hardening_WordPress

    Sicherheitslücken wird es immer geben. Auch bei anderen System. WordPress hat sich aufgrund seiner Verbreitung in den vergangenen Jahren nicht wirklich weiter entwickelt und die API lädt leider zur Generierung von erheblichen Lücken ein. Selbst solche banalen Dinge wie eine Überprüfung auf das Vorhandensein einer Funktion oder bei administrativen Abfragen ein simples "is_admin" findet man viel zu selten.

    Dummerweise kann man vom gemeinen "Ich-mach-mir-jetzt-ein-Affiliate-Fashion-Blog"-Betreiber nicht erwarten, jedes Plugin zu analysieren und vor dem Live-Einsatz auf Herz und Nieren zu prüfen. Die Googlen sich durch, finden im DE-Raum eher veraltete Beiträge und landen bei der obligatorischen White-Page-of-Death dann hier im Forum.

    Ich wünsche mir einen absoluten CUT bei WordPress und ein Major-Release, das neue Wege geht. Hobby-Programmierer und Spaghetti-Code haben bei einem System mit einer solchen Verbreitung nichts verloren (nichts für ungut).
     
  11. Birdman

    Birdman Active Member

    Registriert seit:
    15. Dezember 2014
    Beiträge:
    42
    Zustimmungen:
    0
    Die Frage ist was weiß man über seine Plugins. Ich finde den Beitrag von Ernesto Ruge zum Thema Schreibrechte (auch in Verbindung mit Plugins) sehr interessant http://sectio-aurea.org/2014/07/dateirechte-warum-eigentlich/
     
  12. forelle48

    forelle48 Well-Known Member

    Registriert seit:
    25. August 2011
    Beiträge:
    63
    Zustimmungen:
    0
    Wenn das so wäre, wäre WP unbrauchbar! Da es aber nicht so ist, ist WP wunderbar!
     
  13. Birdman

    Birdman Active Member

    Registriert seit:
    15. Dezember 2014
    Beiträge:
    42
    Zustimmungen:
    0
    Ich beschäftige mich seit 15 Jahren hobbymäßig mit der Erstellung von Homepages. Angefangen mit WYSIWYG über das erlernen von HTML und CSS zur Erstellung statischen Seiten. Vor knapp einem Jahr habe ich dann auf WP umgestellt, seit dem entwickele ich zunehmend eine gepflegte Paranoia. Zu Beginn fand ich WP auch eine tolle Sache, nachdem ich mich dann mit dem Thema WP und Sicherheit auseinandergesetzt habe, und versucht habe mich tiefer in das Thema einzuarbeiten, fühle ich mich zunehmend überfordert.
     
    #13 Birdman, 20. September 2015
    Zuletzt bearbeitet: 20. September 2015
  14. Tubedesigner

    Tubedesigner Well-Known Member

    Registriert seit:
    24. April 2015
    Beiträge:
    2.048
    Zustimmungen:
    2
    Public Relations mit dem Mittel des selbstgeschaffenen Bedrohungsszenarios um die geplante Obsoleszenz zu potenzieren – ein typisch US-amerikanisches Geschäftsmodell, mittlerweile für die Anwender wirtschfatlich wie politisch überaus erfolgreich...

    Früher lief's hauptsächlich über das Design und technisch meist nutzlose Gimmicks, heute kommt als massiver Verstärker das Bedrohungsszenario dazu – Aufwachen!
     
  15. Brawler

    Brawler Gast

    Wenn die Haustür offen steht, geht man eben rein... Außer man ist Kanadier. Die wissen, was sich gehört! ;)
     
  16. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2

    [scnr]
    Im Innviertel /OÖ klopft man während des Reingehens noch an => und geht aber immer nur in die Küche ..., weil die ist offensichtlich "public", alles andere ist "privat"
    und frag mich nicht wie die immer wissen wo die Küche ist :)
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden