25 Jahre Sturmnetz

Vorsicht bei der Sicherheit von Standard-Software für Websites!

Vorsicht bei der Sicherheit von Standard-Software für Websites, auch bei Wordpress!

Gestern hat sich ein Kunde bei uns beschwert, er würde mit "Spam bombardiert". Eine Analyse einer solchen Mail zeigte, dass sie von der Website dieses Kunden selbst gesendet worden war. Tatsächlich versendete die Website massenhaft E-Mails, die angeblich von russischen Single stammten.

Wir konnten feststellen, dass die Mails von einem Script kamen, das Teil eines WordPress-Themes der Website des Kunden war. Wahrscheinlich war dieses Spam-Versand-Script bereits Teil des WordPress-Themes, als der Kunde es installiert hat. Wer kontrolliert schon die tausenden von Dateien, aus denen ein Theme besteht, vor der Installation? Es kann aber auch sein, dass der Programmcode zum Mailversand erst später eingeschmuggelt wurde.
Bei Content Management Systemen, bei denen man Themes und Extensions innerhalb des Systems nachinstallieren kann, ist das ein generelles Problem: Wenn es eine Sicherheitslücke gibt, können Angreifer über die Nachinstallations-Funktion natürlich auch Schadcode nachinstallieren.
Der Programmierer des Kunden arbeitet nun an der Beseitigung des Problems.

(Wir haben auf unserem Server auch einen Schutzmechanismus gegen massenhaften Spamversand durch gehackte Websites. Der hat hier nicht gegriffen, da die Menge der E-Mails noch unter der "Alarmgrenze" lag.)

Sicherheitstipps für WordPress, Joomla, Drupal, Typo3 & Co.:

Standard-Software-Produkte, die in millionenfach auf Internet-Servern installiert sind, sind ein lohnendes Ziel für Angreifer. Hat ein Angreifer einen Fehler in einem solchen Produkt gefunden, kann er damit gleich tausende, vielleicht Millionen Websites angreifen. Das geschieht dann auch meist vollautomatisiert.

Deshalb: Wenn Sie solche Software einsetzen:

  • Machen Sie alle Updates, verfolgen Sie, ob es Updates gibt.
  • Wenn es eine neue Version gibt, auf die nicht upgedatet werden kann, machen Sie einen Relaunch der Website auf die neue Version.
  • Verfolgen Sie die Sicherheits-News-Seiten des Herstellers der Software bzw. seine Sicherheits-Mailinglisten / -Foren.
  • Installieren Sie Themes / Extensions nur, wenn diese aus sicherer, vertrauendwürdiger Quelle kommen und für diese auch in Zukunft Sicherheitsupdates bereitgestellt werden.
  • Befolgen Sie die Sicherheitstipps des Herstellers.
  • Falls spezielle Einstellungen des Servers nötig sind für optimale Sicherheit des Software-Produktes, lassen Sie Ihren Serverbetreiber diese Einstellungen machen.