Stimmt, ich habe im Template das: meta name=â€?generatorâ€? content=â€?WordPress entfernt und nun schon ein paar tage ruhe. Danke für diesen hilfreichen Tip.

[...] Basic Thinking Blog | Blog hacked [...]

Langsam wird’s aber echt etwas nervig, zumal man bisher sich wohl auf englische Blogs konzentriert hatte.
Zudem beinhaltet die aktuelle (!) WP-Version etliche dokumentierte Lücken, daher dauert auch die neue Version länger als geplant.
Im Grunde wird jetzt eben jeder vernünftige Blogger gezwungen sich darüber Gedanken zu machen und die Basics ( ;-) ) wie im Kommentar oben von Elias umzusetzen.
Ansonsten noch ein Tipp für eher statische Seiten, die mehr als CMS denn Blog dienen (hat man ja auch nicht so im Blick): lokal aufsetzen, mit wget statisch abspeichern und per sftp hochladen. Mit Suche, Kommentieren und vielen Posts schauts da aber schlecht aus. Dafür sicher(er).
Abschließend: ruhig von Zeit zu Zeit die ausgehenden Links prüfen (Spamer verlinken nicht auf normale Seiten, die fallen schnell auf).

[...] hat in seinem Beitrag >Blog hacked< einiges über die aktuelle Situation bei den WordPress Blogs erfasst. Momentan verbreiten sich [...]

Zu Jan (20): “WordPress ist das neue Windows”… ja, das könnte man wirklich denken, wenn man liest, was bei der “Weblog Tools Collection so gebloggt wird und anschließend im WordPress-Dashboard erscheint… ;-)

[...] (vgl. vorherigen Post). Inzwischen wird das Thema in der Bloggeria heiß diskutiert (vgl. z.B. Basic Thinking, PHP Performance, Tom’s Diner und Webrocker). Über Webrocker bin ich auf einen sehr [...]

[...] basicthinking gibt es auch eine interessante Diskussion mit guten Ansätzen (Kommentare) [...]

Mir scheint, WordPress ist das neue Windows! Weit verbreitet, teils schlamping geschrieben. Viel Third Party Müll.

Leute, sucht euch Alternativen.

@ahe (#12):
Es ist wohl ein falscher Eindruck durch den Fehlschluss entstanden, dass das durch die Versionsverschleierung (minimal) erhöhte Sicherheitsgefühl dazu führt, dass man sich Updates spart und sorgloser mit seinem Blog umgeht.

Das ist in meinem Fall tatsächlich nicht so. Das wäre allerdings auch ziemlich gefährlich, nicht zuletzt aus den folgenden Erwägungen heraus:

Da leider immer noch niemand (so weit ich Kenntnis habe), der viel mehr Ahnung als ich von PHP, vom Programmieren überhaupt und vom Hacken und Spammen im Speziellen hat, sich aufgemacht und sich mal so ein paar “böse” Bots beschafft und genau angeschaut (und das Ganze en dĂ©tail publiziert) hat, sind für mich alle vermeintlichen Erkenntnisse über das, was “böse” Bots genau tun und wie sie es tun, reine Vermutung.

Das gilt natürlich auch für die vermutete Arbeits-und Denkweise der Idioten hinter den Bots.

Alles, was ich an Erkenntnissen habe, sind Rückschlüsse aus meinen Logdateien (Server und Blog) und ein paar berichtete Erkenntnisse von anderen. Dazu noch meine eigenen Spekulationen über Motivation, Fleiß oder Faulheit der s.o. dahinter.

Und weil die Versionsnummer meines Blogs sowieso niemanden außer mich etwas angeht, und deren Verschleierung nicht schadet, kann ich sie auch verbergen.

Natürlich darf das nicht zu trügerischem Sicherheitsgefühl führen, gar keine Frage …

@Micha (13): Kennst Du denn “solche Typen”?

Tatsächlich kann ich es regelmässig beobachten, dass es bei einer neuen Website/Domain nicht lange dauert, um die URLs der üblichen Exploit-Versuche, und darunter besonders WordPress und phpBB, im Log zu erkennen. Selbstverständlich läuft beides nicht auf den betreffenden Websites.

Wer also meint, aus Sicherheitsgründen die Version seines WordPress verschleiern zu wollen und meint, das würde ihn (oder sie) auch nur ansatzweise gegen Exploit/ Hackversuchen schützen, handelt naiv und sollte sich vielleicht mal mit dem Thema “Security thru Obscurity” beschäftigen.

Hohoho. Sorry, wenn ich mich wiederhole, aber mit Textpattern wäre das nicht passiert.

[...] sein mögen, da ist eigentlich immer auch etwas Handarbeit nötig.) Nachdem inzwischen auch bekanntere Blogger das Problem thematisiert haben, hier auch einige Anmerkungen von mir, die vielleicht auch [...]

Zu Micha (13): Ich bin mir manchmal gar nicht so sicher, dass die so genau nachschauen. Die letzten Angriffsversuche auf meine WP-Installationen, die ich erlebt habe, die habe ich zunächst für dDoS-Attacken gehalten. (Alter der jetzt beschriebenen Angriffe: so ein bis zwei Wochen.)

Die IP-Adressen waren fröhlich über die Weltgeschichte verstreut, wohl lauter zombifizierte Windows-Rechner, die den Spammern ja auch ganz andere Dienste leisten. Es gab folgende Vorgehensweisen:

Versuch, massenhaft “Leser” zu registrieren
Dies geschah unabhängig davon, ob die Registrierung eines Lesers möglich war oder nicht. Alle Mailadressen waren bei gmail, da scheinen die Cracker also gerade so richtig gut dranzukommen – früher war es noch Yahoo. Offenbar hat der momentane Angriff etwas mit einer falschen Prüfung der Rechte angemeldeter Benutzer zu tun.

Obskure Aufrufe der xmlrpc.php
Der letzte Bug, der dort gefixt wurde, ist schon recht lange her. Aber offenbar vertrauen die Cracker darauf, dass nicht jeder Blog aktuell ist und probieren fröhlich auch uralte Lücken aus. Da es sich um HTTP-POST handelt, weiß ich nichts über die Daten, die untergejubelt werden sollten.

Verteilte Wörterbuch-Attacken auf die Passwörter
Immer wieder kam es zu Login-Versuchen. Ebenfalls HTTP-POST, daher weiß ich nichts von den Daten. Aber die Häufung war schon sehr auffällig…

Schlussfolgerungen:

Der Angriff auf die xmlrpc.php ermöglicht, wenn er erfolgreich ist, sogar das Hochladen von Dateien. Wer eine alte WordPress-Version mit dieser Lücke hat, sollte unbedingt einen Upgrade machen, wenn er seinen Rechner nicht zu einer Schleuder für die Malware der Spam-Mafia machen will. Es gab für die fragliche WordPress-Version sogar eine korrigierte xmlrpc.php irgendwo (Google hilft), falls ein Upgrade des gesamten WordPress aus dem einen oder anderen Grund nicht in Frage kommt.

Die Wörterbuchattacken sind gefährlich. Man kann ihnen nur durch sichere Passwörter begegnen. Ob die sechstellige Sedezimalzahl für den initialien Admin-Account ausreichend ist? Ich glaube kaum, und ich weiß auch nicht, ob die aktuelle oder ob frühere Versionen hier eine gewisse Vorhersagbarkeit haben (zum Beispiel in Abhängigkeit von der Installationzeit, die man ja auch am ersten Standard-Post ablesen kann). Ich werde mir das in den nächsten Wochen einmal ganz genau anschauen.

Das einfache Verbergen der Version hilft nicht. Gleichartige Angriffe gingen über verschiedene installierte Versionen, die von 2.0.x bis 2.3.3 reichten. Es sind dumme Skripten, mit denen da gecrackt wird.

Empfehlungen:

Unbedingt die xmlrpc.php-Lücke stopfen, wenn sie besteht!

Den bei der Installation angelegten Account mit dem Benutzernamen “admin” löschen! Vorher einen eigenen Adminaccount mit einem möglichst kryptischen Benutzernamen anlegen, der natürlich ein starkes Passwort kriegen muss! So muss bei der Wörterbuchattacke doppelt geraten werden, der Loginname und das Passwort — das erhöht die Schutzfunktion erheblich.

Als Anzeigename nicht den Login-Namen verwenden! Sonst wird es doch ein bisschen einfach für Bruder Hackkopf…

Übrigens hilft das alles nichts, wenn man auf seinem Arbeitsrechner bereits eine Malware laufen hat, die Passwörter aller Art mitloggt. Deshalb unbedingt zum Bloggen einen einigermaßen sauberen Rechner verwenden. Der beste Schutz in WordPress würde nichts helfen, wenn das Betriebssystem des Bloggers offen wie ein Scheunentor steht.

Abschließendes:

Ich selbst verberge nicht, welche WP-Version ich verwende, und ich habe Angriffsversuche auf meine Sites erlebt. Dennoch haben meine Sites diese Angriffe überstanden. Die einzigen Maßnahmen, die ich selbst getroffen habe (und zwar schon seit langem), sind die, die hich hier auch angegeben habe.

Am meisten Sorgen mache ich mir persönlich um die paar Sites, die Benutzern eine Registrierung erlauben. (Ich kann es an diesen Stellen nicht vermeiden.) Man muss sich immer vor Augen halten, dass das Login-Privileg eben ein Privileg ist. Jemand, der bereits in das Dashboard kommt, hat eine wichtige Hürde überwunden und kann seiner Destruktivität auf ganze andere Weise freien Lauf lassen. Eine einzige Unsauberkeit an einer einzigen Stelle, ob es nun eine SQL-Injection (in WP immer gut möglich, auch und vor allem in einigen Plugins) oder eine unzureichende Rechteprüfung ist, und schon wird das Blog übernommen. (Am besten, indem zunächst ein zusätzlicher User mit vollen Privilegien erzeugt wird, das kriegt jeder 6jährige Nachwuchshäcker auf dem Pisspott hin. Denn wird mit diesem Admin bequem und mit guter Benutzerführung das Blog etwas umkonfiguriert, anschließend wird der User einfach wieder gelöscht. Wenn das in der Datenbank geschieht, kriegt der Betreiber des Blogs nicht einmal eine Mail über den neu registrieren User.)

Ich hoffe, es macht etwas nachdenklich. Was wir brauchen, ist eine vernünftige Analyse dieses Problems, bis dahin kann auch ich nur im Nebel stochern.