Ich habe vor sehr langer Zeit einen Artikel geschrieben über Sicherheit von Open CMS Systemen (Joomla Bugs).
Damals stach Joomla noch aus der Masse hervor in dem viele unsichere Plugins (auch heute noch) existieren. Leider ist WordPress nicht mehr so sicher wie früher und es gibt viele Angreiffer die gerne auch Zeit opfern um an eine WordPress Installation zu kommen.
Das Ausmass sieht man schnell, wenn man nur schon die Sicherheitslöcher vom August anschaut, welche veröffentlicht wurden:
31.08.2011 | WordPress Redirection plugin version 2.2.8 suffers from a cross site scripting vulnerability. | |
31.08.2011 | WordPress Grapefile plugin versions 1.1 and below suffer from a remote shell upload vulnerability. | |
31.08.2011 | WordPress Image Gallery with Slideshow plugin versions 1.5 and below suffer from remote SQL injection and shell upload vulnerabilities. | |
31.08.2011 | WordPress Crawl Rate Tracker plugin versions 2.0.2 and below suffer from a remote SQL injection vulnerability. | |
31.08.2011 | WordPress WP Audio Gallery Playlist plugin versions 0.12 and below suffer from a remote SQL injection vulnerability. | |
31.08.2011 | WordPress Yolink Search plugin versions 1.1.4 and below suffer from a remote SQL injection vulnerability. | |
31.08.2011 | WordPress PureHTML plugin versions 1.0.0 and below suffer from a remote SQL injection vulnerability. | |
31.08.2011 | WordPress Couponer plugin versions 1.2 and below suffer from a remote SQL injection vulnerability. | |
30.08.2011 | WordPress Event Registration plugin versions 5.4.3 and below suffer from a remote SQL injection vulnerability. | |
30.08.2011 | WordPress Advertizer plugin versions 1.0 and below suffer from a remote SQL injection vulnerability. | |
30.08.2011 | WordPress iCopyright(R) Article Tools plugin versions 1.1.4 and below suffer from a remote SQL injection vulnerability. | |
30.08.2011 | WordPress SH Slideshow plugin versions 3.1.4 and below suffer from a remote SQL injection vulnerability. | |
28.08.2011 | WordPress Super CAPTCHA plugin versions 2.2.4 and below suffer from a remote SQL injection vulnerability. | |
28.08.2011 | WordPress Collision Testimonials plugin versions 3.0 and below suffer from a remote SQL injection vulnerability. | |
28.08.2011 | WordPress oQey Headers plugin versions 0.3 and below suffer from a remote SQL injection vulnerability. | |
28.08.2011 | WordPress Facebook Promotions plugin versions 1.3.3 and below suffer from a remote SQL injection vulnerability. | |
28.08.2011 | WordPress Profiles plugin versions 2.0 RC1 and below suffer from a remote SQL injection vulnerability. | |
28.08.2011 | WordPress Evarisk plugin versions 5.1.3.6 and below suffer from a remote SQL injection vulnerability. | |
28.08.2011 | WordPress mySTAT plugin versions 2.6 and below suffer from a remote SQL injection vulnerability. | |
28.08.2011 | WordPress Photoracer versions 1.0 and below suffer from cross site scripting and remote SQL injection vulnerabilities. | |
27.08.2011 | WordPress MM Forms Community plugin versions 1.2.3 and below suffer from a remote SQL injection vulnerability. | |
27.08.2011 | WordPress JS-Appointment plugin versions 1.5 and below suffer from a remote SQL injection vulnerability. | |
26.08.2011 | WordPress versions 3.1 and 3.2.1 suffer from a cross site scripting vulnerability. | |
26.08.2011 | WordPress SendIt plugin versions 1.5.9 and below suffer from a remote blind SQL injection vulnerability. | |
26.08.2011 | WordPress Yoast version 4.1.3 suffers from a file disclosure vulnerability. | |
22.08.2011 | WordPress MM Duplicate plugin versions 1.2 and below suffer from a remote SQL injection vulnerability. | |
21.08.2011 | WordPress UnGallery plugin versions 1.5.8 and below suffer from a local file disclosure vulnerability. | |
19.08.2011 | WordPress WP DS FAQ plugin versions 1.3.2 and below suffer from a remote SQL injection vulnerability. | |
19.08.2011 | WordPress WP Forum versions 1.7.8 and below suffer from a remote SQL injection vulnerability in sendmail.php. | |
19.08.2011 | WordPress Ajax Gallery plugin versions 3.0 and below suffer from a remote SQL injection vulnerability. | |
19.08.2011 | WordPress Global Content Blocks plugin versions 1.2 and below suffer from a remote SQL injection vulnerability. | |
19.08.2011 | WordPress Allow PHP in Posts and Pages plugin versions 2.0.0.RC1 and below suffer from a remote SQL injection vulnerability. | |
19.08.2011 | WordPress Menu Creator versions 1.1.7 and below suffer from a remote SQL injection vulnerability. | |
18.08.2011 | WordPress File Groups plugin versions 1.1.2 and below suffer from a remote SQL injection vulnerability. | |
18.08.2011 | WordPress Contus HD FLV Player plugin versions 1.3 and below suffer from a remote SQL injection vulnerability. | |
18.08.2011 | WordPress WP Symposium plugin versions 0.64 and below suffer from a remote SQL injection vulnerability. | |
18.08.2011 | WordPress Easy Contact Form Lite plugin versions 1.0.7 and below suffer from a remote SQL injection vulnerability. | |
18.08.2011 | WordPress OdiHost Newsletter plugin versions 1.0 and below suffer from a remote SQL injection vulnerability. | |
17.08.2011 | WordPress IP-Logger plugin versions 3.0 and below suffer from a remote SQL injection vulnerability. | |
11.08.2011 | eShop version 6.2.8 for WordPress suffers from a cross site scripting vulnerability. | |
07.08.2011 | Register Plus Redux versions 3.7.3 and below for WordPress suffer from persistent cross site scripting vulnerabilities. | |
05.08.2011 | The WordPress e-Commerce plugin version 3.8.5 suffers from a cross site scripting vulnerability. | |
04.08.2011 | WordPress TimThumb plugin version 1.32 suffers from a remote code execution vulnerability. |
Dies ist aber nur eine liste mit Fehlern, wobei das Ausmass eines solchen Fehlers gerade beim letzten Eintrag erst ersichtlich wird „TimThumb“.
In der bekannten Timthumb erweiterung welche in vielen Plugins und Themes zum Einsatz kommt, wurde ein Sicherheitsloch bekannt, mit welchem Unbekannte wahllos Dateien auf die WordPress Installation laden können und anschliessend ausführen. So lassen sich PHP trojaner hochladen und anschliessend alles mit dem Server anstellen was man immer möchte. (Mehr Infos zum Zero Day Exploit hier: markmaunder.com)
Auch wenn dieses Sicherheitsloch nun mehr als ein Monat alt ist und weiterhin sind zig Plugins und 100te Themes nicht geupdated welche auf dieses „Zusatztool“ vertrauen.
Wenn schon ein Plugin mit mehr als 30’000 Downloads fast ein Monat braucht zum updaten, wie sieht dies dann mit den Fertig-Themes aus die man zwar runterladen kann, aber kein Autoupdate unterstützen?
Genau hier liegt der Hund. Viele Blogbesitzer haben kein fundiertes Wissen über PHP und die damit verbundene Sicherheit.
Wer unsicher ist, ob sein Blog ein Plugin und oder Theme verwendet mit dieser Sicherheitslücke, kann nachschauen ob im Theme oder einem der Pluginornder die „TimThumb.php“ vorhanden ist. Wenn ja, dann kontrollieren dass es die neueste Version ist. Wer dies sich nicht selber zutraut, kann gerne auf mich zu kommen.
web updates kmu bietet seinen Kunden solche Leistungen als Service an mit dem WordPress Update Service und garantiert immer eine aktuelle Installation wo alle bekannten Sicherheitslöcher schnellst möglichst behebt.
Im Service mit drin ist jederzeit eine aktuelle 1:1 Kopie von der produktiven Webseite für Testzwecke, um anstehende Major Releases oder neue Plugins/Themes ohne Gefahr testen zu können.