1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Theme auf Sicherheitslücken prüfen. Wie geht das?

Dieses Thema im Forum "Konfiguration" wurde erstellt von bydlo, 5. Januar 2014.

Schlagworte:
  1. bydlo

    bydlo Well-Known Member

    Registriert seit:
    1. Juni 2006
    Beiträge:
    447
    Zustimmungen:
    0
    HiHo,
    der Titel verrät es ja bereits.
    Wie prüft man ein Theme auf Sicherheitslücken??

    Unglaublich viele WP-Installationen die Themes von Themeforest nutzen wurden in letzter Zeit gehackt.
    Deswegen würde ich gerne wissen wie man sowas überprüft.
    gruss axel
     
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    5.315
    Zustimmungen:
    174
    Hallo,

    Ich prüfe die Scripte vor dem Einbau, wie diese mit bestimmten Variablen umgeben... zum Beispiel mit $_GET
    http://php.net/manual/de/reserved.variables.get.php

    Das Problem bei Themeforest Themes ist die typische Verbreitung von bestimmten Scripten, die dynamisch Content (Bilder, Videos, Texte usw) von anderen Seiten (Facebook, Twitter, YouTube..) holen und einbinden. Hier wird gerne dem Script eine andere Seite mit Schadecode als Quelle angegeben. Hier ändere ich ganz gerne die dynamische Quelle in meine feste-Quelle.

    Auch die upload-handler.php ist zurzeit bei Themeforest Themes ein richtiges Problem

    Ich lese ganz gerne die
    http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=Wordpress

    Hier findest du auch die Beschreibung, wie die Sicherheitslücke über die upload-handler.php funktioniert
    http://www.exploit-db.com/exploits/29946/

    Ich sichere meine Wordpress-Installationen immer drei fach ab.
    a - eine firewall- die unerlaubte eingaben filter
    b- ein script, was mich über datei-änderungen täglich informiert (neue Scripte z.b.)
    c- Dateirechte ... z.b. sollte wirklich ein ausführbares Script hochgeladen werden, sollte dies in dem Verzeichnis nicht ausführbar sein...

    Ach ja - Eine Wordpress Installation ist in 5 Minuten fertig ;)

    Ralf
     
    #2 r23, 5. Januar 2014
    Zuletzt bearbeitet: 5. Januar 2014
  3. hydro

    hydro Well-Known Member

    Registriert seit:
    16. November 2013
    Beiträge:
    714
    Zustimmungen:
    1
    Kannst du das mit dem Upload-Handler erklären. Habe auch ein Themeforest theme. Kann aber mit dem Link wo ich nur Code finde nichts anfangen.
    Hoffe es ist ok wenn ich mich hier mit dranhänge
     
  4. bydlo

    bydlo Well-Known Member

    Registriert seit:
    1. Juni 2006
    Beiträge:
    447
    Zustimmungen:
    0
    Hallo Ralf,
    danke für die Info.
    Diesen Link hier finde ich ganz nützlich:
    http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=Wordpress
    Für alles andere reichen meine PHP-Kenntnisse einfach nicht aus.
    Kannst du denn ein Security-Plugin empfehlen?
    Ich hatte mal auf einer von Hackerangriffen (siehe den anderen Post in dem du geantwortet hast) betrofenen Installation das Bulletproof-Security installiert und auf einer anderen bei der gestern auch ein Hack stattfand Wordfence installiert.
    In beiden Fällen hat die Sicherung nicht viel geholfen.

    Nutzt du bei deiner oben beschriebenen Sicherung Selbstgeschriebenes oder Plugins?
    Gibt es Plugins die Themes umfänglich auf Sicherheitslücken scannen? (So Dinge wie zBsp Timthumb-Vulnerability-Scanner kenn ich.)

    Übrigens:
    Macht es Sinn ein Theme umzubenennen?
    Wenn man davon ausgeht das ein Teil der Hackergemeinde nach Instalationen sucht bei denen bekanntermaßen verwundbare Themes laufen würde das doch schon mal die Wahrscheinlichkeit eines Angriffs etwas reduzieren , oder seh ich das falsch?

    PS: 5 Minuten? So lange brauchst du? ;)
    Worauf spieltest du damit an?
    Gruss axel
     
  5. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    5-Minuten-Installation, an der sich mindestens 5 Wochen anschließen, um die wichtigsten Optionen kennenzulernen, weitere 5 Wochen, ehe ein Theme nach den eigenen Vorstellungen angepasst ist und weitere 5 Monate, ehe man beginnt halbwegs durchzublicken. Letzteres aber auch nur dann, wenn man sich zuvor bereits 5 Jahre mit HTML, CSS, PHP und JavaScript beschäftigte.
     
  6. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    5.315
    Zustimmungen:
    174
    Wenn PHP selber Teil des Problmes ist, kannst du mit PHP das Problem nicht beseitigen - siehe Google - Google ist unser Problem und nicht die Lösung.

    Die Entwickler von PHP haben unterschiedliche Auffassung von Sicherheit. Ein Sicherheits Experte hat sich vor Jahren "getrennt" und macht seit dem auf Sicherheitslücken in seinem Projekt *aufmerksam*. Er bietet für PHP einen Patch an.

    http://www.golem.de/news/kritische-sicherheitsluecke-php-5-3-9-schleust-code-ueber-das-netzwerk-ein-1202-89527.html

    =>
    PHP-Sicherheit: Stefan Esser wirft hin

    http://www.golem.de/0612/49448.html

    hier sein Projekt
    http://www.hardened-php.net/suhosin/

    Aber einen Provider fragt der Kunde per se nicht, ob er dies installiert hat. Für die Installation sind root Rechte am Server nötigt.

    Ich halte den Patch für sinnvoll - andere nicht!


    Einige verwenden auch gerne eine Erweiterung im webServer - beim Apache zum Beispiel
    mod_security
    http://wiki.ubuntuusers.de/Apache/mod_security


    Ich halte auch die Informationen von OWASP Top 10 für sinnvoll.
    http://blogrettung.de/allgemein/owasp-top-10-jetzt-auch-in-deutsch/


    Ich persönlich verwende zwei Pluigins. Ein Plugin untersucht die User Eingaben auf verdächtiges. Zum Beispiel PHP Code mag ich als Eingabe nicht <?php oder eine mir unbekannte URL als Quelle http://www.example.org/böse_scripte.php

    Ein anderes Plugin teilt mir einmal am Tag alle Änderungen am Datei-System mit. (neue Dateien, Änderungen an Scripten, gelöschte Dateien)

    Wenn ich selber nichts geändert habe - und das Pluign teilt mir Änderungen mit ... ist der Tag gelaufen ;)


    mmh... nö... der Angriff über upload-handler.php - wird einfach an jede mögliche URL angehängt. wenn der Server kein 404 mehr ausliefert kommt der Angriff. Einfach mal die Log-Files vom Server ansehen...


    http://wpde.org/installation/

    Aber der Spiegel teilt dem Wordpress-Anwender mit, wie er vielleicht Wordpress sicher installieren kann.

    http://www.spiegel.de/netzwelt/web/wordpress-so-sichern-sie-die-blog-maschine-ab-a-707286.html

    derartige Informationen würde ich auch nicht hier erwarten!

    cu

    Ralf
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden