, Author

Last Updated on

Liebe Leserinnen und Leser,

hier nur kurz eine Warnung für alle Nutzer von WordPress.org:

Schadcode nutzt Monate alte WordPress-Lücke aus

Wie bereits gestern mehrere Magazine berichteten wird bei sehr vielen selbst installierten WordPress-Blogs (also nicht WordPress.com!) eine Lücke im Plugin “Slider Revolution” ausgenutzt, welche bereits seit Monaten bekannt und eigentlich schon längst geschlossen ist. Es ist also wieder einmal so, daß entsprechende Anwender zu faul waren um ihr Blog auf dem aktuellen Stand zu halten!

 

Gefahr für alle Selbsthoster!

Solch ein unverantwortliches Verhalten ist eine Gefahr für alle, die wie ich ihr WordPress selbst gehostet haben und auch für euch Leserinnen und Leser! Zitat Heise.de:

Der Schädling namens SoakSoak hat hunderttausende Webseiten über das Plug-in Slider Revolution befallen und spioniert die Server aus. In einigen Fällen werden auch Besucher per Drive-By-Download infiziert.

 

Diese Lücke wurde bereits im Februar 2014 geschlossen, nur scheint das Update viele Leute nicht zu interessieren! Das ist ungefähr das selbe Verhalten, welches ich auch immer wieder in meinem Umfeld auf den eigenen Rechnern bemerke. Updates werden einfach ignoriert, denn “Never touch a running System!”. Solch ein Verhalten ist meiner Ansicht nach grob fahrlässig und sollte eigentlich unter Strafe gestellt werden, denn man gefährdet dadurch ja auch fremdes Eigentum!

 

Mein Fazit:

Leider gibt es auch unter uns Bloggern viele Vollidioten, die anscheinend den Sinn von Sicherheitsupdates noch nicht begriffen haben. Sie verstehen scheinbar nicht, welch eine Gefahr sie für die Daten von sich und anderen Menschen darstellen! Sie öffnen durch ihr Verhalten genau jenen Gestalten Tür und Tor, welche eigentlich niemand in seine Nähe lassen will.

Wenn ein Türschloß defekt ist, dann wechselt man es doch auch aus! Das macht aber eigentlich mehr Arbeit wie ein Klick auf den Button “Aktualisieren”, aber anscheinend lieben die Leute solche Eindringlinge auf ihrem Blog.

 

Hier eine Bitte an die Bloggerinnen und Blogger unter euch:

Haltet eure Systeme immer auf den neuesten Stand!

Nur so könnt ihr relativ sicher sein, daß ihr keine Schädlinge weiter verbreitet. Kein System wird je zu 100% sicher sein, aber solche Sicherheitslücken gehören schnellstens geschlossen!

 

Viele Grüße nun aus TmoWizard’s Castle zu Augsburg

Y gwir yr erbyn byd!

Mike, TmoWizard Zaubersmilie

CC BY-NC-SA 4.0 Dieses Werk ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Computer/Internet, Open Source, Spam & Co

9 Replies to “Warnung für #WordPress.org: Kritische Sicherheitslücke im Plugin “Slider Revolution”!”

  1. Danke für die Vollidioten! Schliest du dich da eigentlich mit ein? Du hattest bis vor kurzem noch eine WordPress 2.xx Theme und warst nicht bereit dir eine neuere zu besorgen!

    Das Plugin einem Update zu unterziehen wird wohl nicht das Problem sein. Ich vermute mal das die Meisten das auch machen nur wenn es in der Theme mit drin ist dann bist du mehr oder weniger auf dem Theme-Entwickler angewiesen. Du kennst das ja wenn dort kein Update gebracht wird! Ich denke da liegt das Problem!

    Ich weis nicht ob du bei mir gelesen hast aber ich hatte da ja vor kurzem auch im Blog einen Hack und ich Update meine Updates gleich nach dem die rauskommen schon weil ich da von der Security eine Mail bekomme! Mein Blog ist nun noch besser geschützt worden und trotzdem wer rein will könnte es schaffen, Mittel gibt es immer!

    PS. bei dem Problem schieben ich den Schwatzen Peter den Entwicklern zu die einfach die Theme verkauft haben und dann sich nicht um den Benutzer mehr kümmern. Ich selber nutze eine MH-Theme und da halte ich mittlerweile bei Version 2.0.1. Trotzdem wurde ich gehackt! Link: http://www.abcd-web.de/wordpress-blog-gehackt-wordpress-researcher-plugin-als-backdoor-virus-trojaner/

    Ging zwar noch gut aus aber Sicherheitslücke bleibt Sicherheitslücke. In meinen Falle hoffe ich das es das erst mal war!

    1. Hallöchen Daniel!

      Falls Du dich getroffen fühlst, dann tut mir das leid! Aber jedes System muß immer auf dem aktuellen Stand gehalten werden.

      Mein Theme wird offiziell scheinbar nicht mehr weiter entwickelt, es ist somit auf dem aktuellen Stand! Es hat auch gar keine Sicherheitslücken, es verwendet allerdings Funktionen, die nicht mehr aller unterstützt werden. Daran arbeite ich so nebenbei, so daß Calotropis auch mit neueren Versionen von WordPress funktioniert!

      Calotropis hatte in all den Jahren eine einzige Lücke, bzw. war das damals die Bibliothek “Timthumb”. Der Autor des Theme hat dieses immer wieder durch solche Lücken auffallende Teil irgendwann komplett rausgeworfen, da ihm das ganze Theater auf den Wecker ging.

      Was das Hacken betrifft: Wie im Artikel geschrieben gibt es keine 100% Sicherheit! Aber man kann Maßnahmen treffen und es den Angreifern so schwer wie nur möglich machen:

      Ein sicheres Paßwort!
      System/WordPress inklusive Theme und Plugins aktuell halten!
      Einen sinnfreien Namen für einen neuen Benutzer wählen, diesen zum Admin machen und den eigentlichen “Admin” dann löschen, den braucht nämlich kein Mensch!
      Die “wp-login.php” umbenennen und dann als Lesezeichen speichern, das blockiert so ziemlich jeden Einbruchsversuch!
      Das Datenbank-Präfix “wp_” ebenfalls ändern, auch dadurch wird das Eindringen erschwert!
      Trick: Sicherheits-Keys von WordPress wöchentlich wechseln! Hierfür gibt es das Plugin “Update Unique Keys”!
      Regelmäßig nach Viren scannen, z. B. mit dem Plugin “AntiVirus” und mit VirusTotal!
      Login-Versuche limitieren mit “Limit Login Attempts”! Veraltet, aber funktioniert trotzdem!

      Mit diesen und auch weiteren Maßnahmen kann man sein WordPress sehr gut sauber halten, selbst wenn das Theme und manche Plugins nicht mehr weiter entwickelt werden. Mit “Limit Login Attempts” wurden inzwischen über 160 IPs gesperrt, über welche jemand hier einzudringen versuchte! Man hat nur 2 Versuche, “Brute Force” geht auf dem Castle also über den Login gar nicht wirklich.

      Übrigens ist der Hack bei dir ein übliches Problem von gekauften Themes, auch die im Artikel erwähnt Lücke betrifft fast ausschließlich gekaufte Themes!

      So viel zum Thema Premium Themes vs. freie Themes, auch hiervon ist Calotropis wieder einmal nicht betroffen. Der Autor hat hier wirklich hervorragende Arbeit geleistet, viel besser kann man es eigentlich gar nicht machen!

      Wenn ich mir so meinen Kommentar betrachte… da hätte ich ja glatt einen Artikel draus machen können! :mrgreen:

      So, nun viele Grüße an Dich und deine Familie!

      Mike, TmoWizard

      1. Ach ja: Danke auch für die Erwähnung in deinem Artikel, sowas freut mich immer! 😉 Allerdings scheint hier etwas nicht mehr zu funktionieren, Pingback klappt nicht mehr! :-O Da scheint mir ein Plugin dazwischen zu funken, das muß ich doch endlich mal prüfen…

  2. Hallo Mike,

    ach angegriffen fühle ich mich nicht! Wie gesagt ich bin auf dem neusten Stand aber ich wollte einfach mal in die Breche springen für die wo eine egal ob Premium oder Free Theme haben. In aller Regel organisiert man sich die neue Theme weil man wie ich eine Mail erhält! Es gibt aber dutzende Themes die in die Runde geworfen werden und dann gibt es keine Updates mehr! Unter deutschen Themen gibt es sowas auch, die werden dann einfach an einen anderen Entwickler wegens Zeitmangelverkauft und der neue Entwickler kümmert sich dann wohl auch nicht mehr!

    PS. Die Tricks hatte ich fast alle schon umgesetzt. Solltest du ja wissen das ich das schon gemacht habe! Ich habe besagten Slider in meiner Theme nicht drin! Ich denke eher das ich Opfer einer der Sicherheitslücken von WP 4.0 wurde die mit 4.01 geschlossen wurden.

    1. Hallöchen Daniel,

      ich antworte jetzt der Einfachheit halber hier auf beide Kommentare von dir! 😉

      Ich nehme in meinem Fall an, daß der Fehler mit den Pings hier an einem Plugin liegt. Am Hoster wohl eher nicht, sonst würde es dort im Forum ziemlich heftig zugehen. CwCity kann sich das nicht erlauben, Schulle (der Admin und Boß) würde da echt gehörig Ärger mit den Kunden bekommen!

      Die Tricks hatte ich fast alle schon umgesetzt. Solltest du ja wissen das ich das schon gemacht habe!

      Da ich deinen Artikel gelesen habe: Ja! 😉 Was ich nicht mache ist der zusätzliche Paßwortschutz durch die “.htaccess”, das funktioniert mal und dann wieder nicht! :-O Durch die Umbenennung der “wp-login.php” mit einem völlig unsinnigen Namen und ohne Dateiendung ist das auch gar nicht mehr notwendig! 😉

      Ich denke eher das ich Opfer einer der Sicherheitslücken von WP 4.0 wurde die mit 4.01 geschlossen wurden.

      Das ist zwar sehr gut möglich, würde mich aber trotzdem ziemlich wundern. Du hältst ja dein System eigentlich immer auf dem neuesten Stand, da muß ein Eindringling schon sehr schnell reagieren! Ausschließen kann man das natürlich nicht, das sieht man ja immer wieder bei solchen Lücken.

      Bis jetzt konnte ich mein Castle ja sauber halten, allerdings hängt damit natürlich auch eine ziemliche Arbeit zusammen. Gerade das von mir verwendete Theme ist leider ein Problem, da es ganz offensichtlich nicht mehr weiter entwickelt wird. Leider ist mir immer noch nicht bekannt, was da mit dem Hersteller “itx” geschehen ist! Die hatten ja noch wesentlich mehr Themes, auch käufliche. Mir scheint da irgend etwas passiert zu sein, denn man gibt doch nicht einfach eine Firma so auf!

      Nachdem ich nun schon das Gästebuch auf meiner “normalen” Website und das Thunderbird/SeaMonkey Add-on “clamdrib” übernommen habe sieht es wohl danach aus, daß ich mich nun auch noch um dieses Theme kümmern muß! Einen vernünftigen Ersatz habe ich nicht gefunden, also bleibt mir wohl nichts anderes übrig. Das hat aber auch den Vorteil, daß ich mich näher mit PHP und so befassen muß. Schadet ja nicht, also warum nicht?!

      So, nun muß ich aber mal los! Ich habe wohl für längere Zeit einen Hund hier in Pflege und der meint gerade, daß es wieder Zeit zum Gassi gehen ist! *wuffwuff* 😉

      Viele Grüße aus Augsburg

      Mike, TmoWizard

  3. Wenn die Pingbacks nicht funktionieren kann es auch sein das du per Plugin die xmlrpc.php gesperrt hast! Die ist für die Trackbacks, Pingbacks und APPS für Android verantwortlich! Die läst sich auch per .htaccess sperren. Einfach mal überlegen ob du die mal irgendwie die xmlrpc.php in der mache hattest zum Schutz!

    So Mann liest sich! 😉

  4. Danke für die Warnung! Ich setze auf meiner Webseite (Sprachtherapie Yetim) genau dieses Slider Revolution Plugin ein, und habe jetzt pflichtbewusst aktualisiert. Ich fürchte nur, dass die Motivation zum Aktualisieren über die Monate und Jahre schwinden wird. :

    Eigentlich brauchen gerade Web-Applikationen ein noch viel stärkeres Update-Konzept, als andere Anwendungen, stattdessen wird das Thema meist stiefmütterlich behandelt. Sicher, man kann bei WordPress automatische Updates installieren, aber wer nur ein wenig Änderungen in den Dateien betreibt, bekommt dann alles wieder überschrieben. Themes und Plugins helfen da auch nur bedingt…

    Das Plugin an sich ist wirklich schick und lässt sich komfortabel konfigurieren. – Nur dass kein falscher Eindruck entsteht wegen der Sicherheitslücke.

    Y.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.