Sicher bloggen mit Wordpress? Teil 1

Die Aufregung war groß in den letzten Tagen: Ein Wurm, der im Internet derzeit sein Unwesen treibt, befällt WordPress Installationen. Anders als bei bisherigen Versuchen wird bei diesem Angriff auf die Software nicht sofort offenkundig, dass etwas nicht stimmt. Statt dessen wird mit einem neuen (versteckten) Admin-Account ein größtmöglicher Schaden angerichtet, so dass es meist schon viel zu spät ist, wenn der Betreiber des WordPress Blogs das bemerkt. Seiten sind unwiderruflich zerstört oder gelöscht und die Schäden zu reparieren eine Herausforderung. Was also tun?

Im folgenden soll auf ein paar Punkte hingewiesen werden, die einem die Suche nach der richtigen Antwort auf die Frage geben soll: Wie finde ich raus, ob ich betroffen bin? Was sollte ich auf jeden Fall machen? Sollte ich lieber eine andere Blogsoftware auf meinem Server einsetzen oder gar zu einem fullservice Blogdienst wechseln?

1. Wie finde ich raus, ob meine Wordpress Installation gehackt wurde?

Was den aktuellen “Wurm” angeht, gibt es verschiedene Möglichkeiten das zu überprüfen. Erster Anhaltspunkt sollte sein, sich die Permalinks von WordPress anzuschauen. Haben diese komischen Code am Ende, so hat der Wurm zugeschlagen:

blogadresse.de/beitrag/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/

Dabei sind die Code Schnipsel “eval” und “base64_decode” entscheidend. Diese Veränderung der Permalink-Struktur erfolgt aber anscheinend erst in einem späteren Schritt, wenn der Wurm bereits im System sein Unwesen treibt. Der erste Schritt ist nämlich, dass der Wurm einen weiteren Administrator als Benutzer anlegt. Dabei geht er aber so geschickt vor, dass man nicht einfach im Backend im Benutzerbereich nachschauen kann, denn dort versucht der Wurm mittels JavaScript den zweiten Administrator auszublenden. Wenn man das also überprüfen will entweder JavaScript ausschalten oder am besten direkt in der MySQL Datenbank nachschauen.

Dafür sollte man in phpMyAdmin entweder in der Userdatenbank nachschauen oder einfach folgendem Tipp von Dougal Campell folgen und diese SQL Abfrage laufen lassen:

SELECT u.ID, u.user_login FROM wp_users u, wp_usermeta um WHERE u.ID = um.user_id AND um.meta_key = ‘wp_capabilities’ AND um.meta_value LIKE ‘%administrator%’;

Sofern ein eigenes Tabellenschema verwendet wird, muss der Präfix wp_ entsprechend angepasst werden.

Auch hier nur ein Admin Account? Dann ist erstmal Entwarnung angesagt. Trotzdem kein Grund sich entspannt zurückzulehnen. Was nicht ist, kann (leider) noch werden.

2. Was sollte ich auf alle Fälle tun?

Der häufig genannteste Tipp in Zusammenhang dieser Tage ist: Updaten. Denn insbesondere ältere Versionen von WordPress und deren Sicherheitslücken nutzt der Wurm um sich Zugang zum System verschaffen. Generell empfiehlt es sich, seine WordPress Installation auf dem neuesten Stan…

» Vollständiger Artikel