Theme auf Sicherheitslücken prüfen. Wie geht das?

Hallo,

Ich prüfe die Scripte vor dem Einbau, wie diese mit bestimmten Variablen umgeben... zum Beispiel mit $_GET
http://php.net/manual/de/reserved.variables.get.php

Das Problem bei Themeforest Themes ist die typische Verbreitung von bestimmten Scripten, die dynamisch Content (Bilder, Videos, Texte usw) von anderen Seiten (Facebook, Twitter, YouTube..) holen und einbinden. Hier wird gerne dem Script eine andere Seite mit Schadecode als Quelle angegeben. Hier ändere ich ganz gerne die dynamische Quelle in meine feste-Quelle.

Auch die upload-handler.php ist zurzeit bei Themeforest Themes ein richtiges Problem

Ich lese ganz gerne die
http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=Wordpress

Hier findest du auch die Beschreibung, wie die Sicherheitslücke über die upload-handler.php funktioniert
http://www.exploit-db.com/exploits/29946/

Ich sichere meine Wordpress-Installationen immer drei fach ab.
a - eine firewall- die unerlaubte eingaben filter
b- ein script, was mich über datei-änderungen täglich informiert (neue Scripte z.b.)
c- Dateirechte ... z.b. sollte wirklich ein ausführbares Script hochgeladen werden, sollte dies in dem Verzeichnis nicht ausführbar sein...

Ach ja - Eine Wordpress Installation ist in 5 Minuten fertig

Ralf

 

Kannst du das mit dem Upload-Handler erklären. Habe auch ein Themeforest theme. Kann aber mit dem Link wo ich nur Code finde nichts anfangen.
Hoffe es ist ok wenn ich mich hier mit dranhänge

 

5-Minuten-Installation, an der sich mindestens 5 Wochen anschließen, um die wichtigsten Optionen kennenzulernen, weitere 5 Wochen, ehe ein Theme nach den eigenen Vorstellungen angepasst ist und weitere 5 Monate, ehe man beginnt halbwegs durchzublicken. Letzteres aber auch nur dann, wenn man sich zuvor bereits 5 Jahre mit HTML, CSS, PHP und JavaScript beschäftigte.

 

Wenn PHP selber Teil des Problmes ist, kannst du mit PHP das Problem nicht beseitigen - siehe Google - Google ist unser Problem und nicht die Lösung.

Die Entwickler von PHP haben unterschiedliche Auffassung von Sicherheit. Ein Sicherheits Experte hat sich vor Jahren "getrennt" und macht seit dem auf Sicherheitslücken in seinem Projekt *aufmerksam*. Er bietet für PHP einen Patch an.

http://www.golem.de/news/kritische-sicherheitsluecke-php-5-3-9-schleust-code-ueber-das-netzwerk-ein-1202-89527.html

=>
PHP-Sicherheit: Stefan Esser wirft hin

http://www.golem.de/0612/49448.html

hier sein Projekt
http://www.hardened-php.net/suhosin/

Aber einen Provider fragt der Kunde per se nicht, ob er dies installiert hat. Für die Installation sind root Rechte am Server nötigt.

Ich halte den Patch für sinnvoll - andere nicht!


Einige verwenden auch gerne eine Erweiterung im webServer - beim Apache zum Beispiel
mod_security
http://wiki.ubuntuusers.de/Apache/mod_security


Ich halte auch die Informationen von OWASP Top 10 für sinnvoll.
http://blogrettung.de/allgemein/owasp-top-10-jetzt-auch-in-deutsch/

Ich persönlich verwende zwei Pluigins. Ein Plugin untersucht die User Eingaben auf verdächtiges. Zum Beispiel PHP Code mag ich als Eingabe nicht <?php oder eine mir unbekannte URL als Quelle http://www.example.org/böse_scripte.php

Ein anderes Plugin teilt mir einmal am Tag alle Änderungen am Datei-System mit. (neue Dateien, Änderungen an Scripten, gelöschte Dateien)

Wenn ich selber nichts geändert habe - und das Pluign teilt mir Änderungen mit ... ist der Tag gelaufen

mmh... nö... der Angriff über upload-handler.php - wird einfach an jede mögliche URL angehängt. wenn der Server kein 404 mehr ausliefert kommt der Angriff. Einfach mal die Log-Files vom Server ansehen...

http://wpde.org/installation/

Aber der Spiegel teilt dem Wordpress-Anwender mit, wie er vielleicht Wordpress sicher installieren kann.

http://www.spiegel.de/netzwelt/web/wordpress-so-sichern-sie-die-blog-maschine-ab-a-707286.html

derartige Informationen würde ich auch nicht hier erwarten!

cu

Ralf