WordPress ist sich selbst die größte und älteste Sicherheitslücke.
Hacker, die Blogs mit WordPress-Installation knacken wollen, haben mit WordPress nämlich besonders leichtes Spiel.
Standardmäßig gewährt die am weitesten verbreitete Blog-Software der Welt mühelos jedem Hacker Einblick über bestehende Sicherheitslücken der für einen Blog verwendeten WordPress-Installation.
Die Bauanleitung für Blog-Hacker: Wie WordPress Hackern Tür und Tor öffnet
WordPress baut die Versionsnummer der gegenwärtig verwendeten WordPress-Software mit in die Meta-Tags ein. Und das hat fatale Folgen.
Ruft man einen Blog bzw. eine beliebige Unterseite eines Blogs auf und schaut sich den HTML-Quellcode an, so kann man rasch anhand des Meta-Tags Generator ersehen, welche WordPress-Version verwendet wird.
Nicht eingespielte Security-Updates, welche die WordPress-Entwickler auf der Website von WordPress bereitstellen, kann man derart ganz einfach aufdecken und ausnutzen.
Noch mehr Hacker-Service gefällig?
Doch damit nicht genug. Der leichtsinnige WordPress-Service geht noch weiter.
Über die Sicherheitslücken der jeweiligen WordPress-Version wird detailliert Buch geführt und von den WordPress-Entwicklern auch präzise beschrieben - Exploits vom feinsten für verhaltensgestörte Skript-Kiddies.
WordPress schlägt zwei Fliegen mit einer Klappe
Mit diesen Daten in der Hand können Hacker und sonstige Flachköpfe gezielt ans Werk gehen.
Welchen Blog sie wie knacken können, können die Unholde kaum schneller und eleganter herausfinden; faktisch befindet sich damit eine Backdoor-Funktion in jeder WordPress-Installation.
Abhilfe schaffen: Wie man die Sicherheitslücke beseitigt
Gleichwohl kann und sollte man sich vor diesem unsinnigen Versionshinweis schützen und Hackern das Leben erschweren, um Blog-Einbrüche zu vermeiden. Fehlt der Meta-Tags Generator oder sind dessen Angaben geändert worden, ist es somit nicht mehr so einfach die Versionsnummer der WordPress-Software zu identifizieren.
Welche Befehle man ändern sollte
Der Übeltäter befindet sich in der HEADER.PHP-Datei. Ursache der Sicherheitslücke ist eine Abfrage der Versionsnummer der aktuellen WordPress-Installation des Blogs, welche in die Meta-Tags des Blogs geschrieben wird.
Per Hand sollte man daher umgehend folgende Änderungen in der HEADER.PHP-Datei im Theme-Bearbeitungsverzeichnis des Admin-Menüs vornehmen:
2 Möglichkeiten bestehen, das Security-Leck zu fixen:
- Entfernen der Zeile: Markieren, löschen und die Datei dann speichern – das wars.
- Modifizieren der Angaben: statt der WordPress-Version kann man den Meta-Tag gestalten und halten wie man möchte. Für XYZ kann man bei content=“XYZ“ eintragen, was man will, etwa: content=“Lücke weg“
Bedenken sollte man vor der Code-Änderungen gegebenenfalls ein Backup des Blogs vorzunehmen bzw. den Inhalt der header.php-Datei mittels copy/paste als Text-Datei zu sichern.
Fazit zur WordPress-Sicherheitspanne
Mag der Versionshinweis innerhalb der Meta-Tags auch gutgemeint sein, in der Praxis dagegen entpuppt sich diese Angabe in Blogs als Bauanleitung für Hacker nahezu jeder WordPress-Installation. Aus genanntem Grunde sollte man die sehr einfach zu bewerkstelligen Änderungen vornehmen, um den Blog besser zu schützen vor unliebsamen Zugriffen.
Trotzdem bleibt WordPress für mich die beste Blog-Software, die es gibt; die WordPress-Jungs leisten hervorragende Arbeit.
Sicherheitslücken wird es immer geben. Damit muß man sich wohl oder übel abfinden. No risk no fun! 
Nie wieder die besten Blog-Tips verpassen – registriere den kostenlosen RSS-Feed von ProbloggerWorld mit einem Mausklick auf den Link.
Security by obscurity ist keine gute Lösung und bringt auf Dauer keine Sicherheit – Höchsten als Schutz vor den einfachsten script-kiddy-Attacken.
Regelmäßige Updates sind da wichtiger.
August 20th, 2007