1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

AntiVirus für WordPress

Dieses Thema im Forum "Plugin-Vorstellung" wurde erstellt von sergej.mueller, 25. Februar 2009.

  1. sergej.mueller

    sergej.mueller Well-Known Member

    Registriert seit:
    18. Februar 2008
    Beiträge:
    273
    Zustimmungen:
    0
    Guten Morgen.

    Es ist mal wieder soweit und ich möchte euch meine Neuentwicklung vorstellen: Das AntiVirus-Plugin für WordPress

    Viele werden aufschreien: "Wer braucht schon so eine Erweiterung?". Das Plugin ist aus dem aktuellen Anlass entstanden und ich hoffe, mit dieser Lösung ein wenig mehr Sicherheit für WP-Blogs zu schaffen.

    Einfach ausprobieren ;)
     
  2. maxe

    maxe Well-Known Member
    Ehrenmitglied

    Registriert seit:
    1. Mai 2008
    Beiträge:
    19.581
    Zustimmungen:
    277
    maxe schreit: ICH!!
    nee im ernst, ich hab mir das Plugin heut selbstverständlich erst mal installiert und geschaut was gefunden wurde. Eine kleine Verdachtsstelle in der functions.php die ich aber kenne. Also alles wird gut ;)
    Vertrauen ist gut, Kontrolle ist besser ... Danke!

    Von mir an dieser Stelle ein großes Lob für deine herrlichen Plugins!
     
  3. sergej.mueller

    sergej.mueller Well-Known Member

    Registriert seit:
    18. Februar 2008
    Beiträge:
    273
    Zustimmungen:
    0
    Hab ich gern gemacht.
     
  4. worldgamerz

    worldgamerz Member

    Registriert seit:
    11. März 2009
    Beiträge:
    6
    Zustimmungen:
    0
    also ich finde das eine sehr gute idee
     
  5. Benjamin-Do

    Benjamin-Do Well-Known Member

    Registriert seit:
    1. Juni 2007
    Beiträge:
    472
    Zustimmungen:
    0
    top - besten dank
     
  6. AirMJ23

    AirMJ23 Member

    Registriert seit:
    12. März 2009
    Beiträge:
    7
    Zustimmungen:
    0
    Wow, das man für Wordpress auch noch kostenlos einen AntiVirus Plugin bekommt. Genial. Ich hoffe, mein Blog wird dadurch gut geschützt.
     
  7. freak131

    freak131 Well-Known Member

    Registriert seit:
    28. Juli 2008
    Beiträge:
    79
    Zustimmungen:
    0
    es ist zwar ein wenig off topic jedoch habe ich auch über die realisierung eines ähnlichen Plugins mit etwas anderen ansetzen nachgedacht.

    das plugin würde sich unterteilen in


    Konfigurationsfehler
    Hinweise auf Fehlkonfiguration des Servers, schwach Datenbankpasswörter, /info.php u. etc.

    Guard
    Ein auf phpids basierender Guard welcher alle Requests filtert.

    Hacks
    Umlenken des Logins (andere Url möglich), altes Login bleibt natürlich beständig, wird jedoch nur protokolliert.
    Verzögerung im Login

    Analyse
    Protokollierung von Angriffen

    API
    Pluginentwicklern zu ermöglichen die Sicherheitsfilter zu umgehen, bzw Requests zu erlauben.

    Defensivmodus
    deaktivierung des Blogs für die Zeit welche benötigt wird um Blog Backups anzulegen (aktuelle Posts, Einstellungen und Angriffsanalyse) und diese auf einem seperaten Server zu speichern, sowie später die Verbindungsdaten zu löschen.
     
  8. mfitzen

    mfitzen Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.820
    Zustimmungen:
    2
    Hi!

    Ich verstehe (leider) nicht viel von der Programmierung von Plugins, aber würde das WordPress nicht unheimlich verlangsamen? Wenn jede einzelne Anfrage überprüft wird, könnte das doch recht viel Zeit in Anspruch nehmen.
     
    #8 mfitzen, 27. März 2009
    Zuletzt bearbeitet: 27. März 2009
  9. sergej.mueller

    sergej.mueller Well-Known Member

    Registriert seit:
    18. Februar 2008
    Beiträge:
    273
    Zustimmungen:
    0
    @freak131
    Gute Ansätze, die in Häppchen bereits in Form von Plugins realisiert wurden.
     
  10. Alphawolf

    Alphawolf Well-Known Member
    Ehrenmitglied

    Registriert seit:
    31. Mai 2005
    Beiträge:
    3.315
    Zustimmungen:
    0
    Auch von mir an dieser Stelle nochmal ein Dankeschön für das schöne Plugin! :)
     
  11. freak131

    freak131 Well-Known Member

    Registriert seit:
    28. Juli 2008
    Beiträge:
    79
    Zustimmungen:
    0
    das ist eine frage des cachings, bei einem normalen request sollte es nicht spürbar sein, probleme entstehen erst wenn viele wechselnde daten übergeben werden müssen.
     
  12. AirMJ23

    AirMJ23 Member

    Registriert seit:
    12. März 2009
    Beiträge:
    7
    Zustimmungen:
    0
    Gefährlich?

    Hallo zusammen,

    ich hab hier ne Frage und zwar benutzte ich das Theme Elegant Grunge Mod und hab es mal durch den AntiVirus Plugin gejagt und er gab mit diese Zeilencodes mit den entsprechenden Dateien wo es drin steht.

    functions.php
    - $content = ob_get_contents();
    - $__EGDEBUG_FD = fopen("eg_debug.txt", "a");

    Image.class.php
    - exec("convert '".mysql_escape_string($path)."' /tmp/ ...

    single.php
    - 'elegant-grunge'), join(', ', array_map(create_function('$item', 'return $item->cat_name;'), get_t ...

    Meine Frage ist, ob die Gefährlich sind? Oder kann ich die Ignorieren? Hab da momentan keine Ahnung für was die Zeilencodes gut sind.

    Wäre sehr dankbar, wenn mir jemand was dazu sagen könnte.
     
  13. Alphawolf

    Alphawolf Well-Known Member
    Ehrenmitglied

    Registriert seit:
    31. Mai 2005
    Beiträge:
    3.315
    Zustimmungen:
    0
    @AirMJ23: Die Funde sind alle okay, und gehören zum Theme.


    Was cool wäre, wenn beim Prüfen der Files auch Nutzerbewertungen mit angezeigt werden würden. Also quasi eine web-zwei-nullige nutzer-zentrische Komponente, um die Funde nach Gefährlichkeit zu bewerten, ähnlich wie das bei HijackThis Logfileauswertung der Fall ist (unten mal auf "Besucherbewertungen anzeigen" klicken). Das wäre denke ich hilfreich für unversierte Nutzer, um die reelle Gefahr eines Fundes besser einschätzen zu können. :)
     
  14. freak131

    freak131 Well-Known Member

    Registriert seit:
    28. Juli 2008
    Beiträge:
    79
    Zustimmungen:
    0
    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    sieht nicht sonderlich gut aus, bin leider nicht so der konsolenfreak, könnte mir aber vorstellen, dass wenn $path nicht whitelistet ist, das man da ganz fiese dinge mit machen kann, ich werde es mir mal wenn etws zeit da ist genauer angucken, die mysql_real_escape_string hat in verbindung mit exec nichts zusuchen.
    http://de3.php.net/manual/de/function.escapeshellcmd.php
     
  15. sergej.mueller

    sergej.mueller Well-Known Member

    Registriert seit:
    18. Februar 2008
    Beiträge:
    273
    Zustimmungen:
    0
    Meiner Ansicht nach, hat ein Exec-Befehl nur in der functions.php eines Themes etwas zu suchen - und wenn er da ist, dann muss dieser einen bedeutenden Grund haben. Andernfalls: Weg damit (vorerst aber prüfen, wo der Funktionsaufruf stattfindet).
     
  16. freak131

    freak131 Well-Known Member

    Registriert seit:
    28. Juli 2008
    Beiträge:
    79
    Zustimmungen:
    0
    generell hat es im theme garnichts zu suchen.
     
  17. sergej.mueller

    sergej.mueller Well-Known Member

    Registriert seit:
    18. Februar 2008
    Beiträge:
    273
    Zustimmungen:
    0
    So würde ich das nicht sagen, jeder Theme-Entwickler kann in seinem Theme Spielereien einbauen, wie er lustig ist - dazu gehört auch Bildkonvertierung (wie in deinem Fall). Ob es Sinn macht, schlampig programmiert ist oder im falschen Template hinterlegt ist, das ist dann eine andere Sache.
     
  18. freak131

    freak131 Well-Known Member

    Registriert seit:
    28. Juli 2008
    Beiträge:
    79
    Zustimmungen:
    0
    eine exec anweisung hat hier dennoch nichts zu suchen, ich würde die gdlib benutzen.
     
  19. sergej.mueller

    sergej.mueller Well-Known Member

    Registriert seit:
    18. Februar 2008
    Beiträge:
    273
    Zustimmungen:
    0
    Ich würds auch anders machen, aber wie gesagt, das ist die Spielwiese des Theme-Entwicklers. Du hast aber meist die Freiheit, das Theme nach deinen Wünschen anzupassen.
     
  20. freak131

    freak131 Well-Known Member

    Registriert seit:
    28. Juli 2008
    Beiträge:
    79
    Zustimmungen:
    0
    nur weil es technisch möglich ist, macht man es schon lange nicht.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden