Sonstiges

Vorsicht vor freien WordPress-Templates

die letzte Zeit haben sich einige Blogger über gehackte WordPress-Blogs freuen dürfen. Und das hat wiederum einige von uns dazu gebracht, sich zu fragen, ob das überhaupt eine zufällige Häufung sein kann. Und ja, es ist eine Häufung, die auch daher herrührt, dass man infizierte Templates in Umlauf bringt: WordPress-Templates als Trojaner, in denen Codestückchen hinterlegt werden, um das Blog dann hacken zu können, sobald das Opfer das Template aktiviert. Siehe dazu „Massive Blog Hackery Exposed„, „Vulnerable WordPress Blogs Not Being Indexed“ und „Blog Hacks Coming Back to Roost? „.

Wie man das Template überprüft? Wenn man es nicht kann, dann vertraue man auf sein Glück, wenn man es einigermaßen kann, dann jedes File auf merkwürdig anmutende Anweisungen kontrollieren, die mal so gar nicht zu dem üblichen Set an WordPress-Funktionen passen wollen. Vor allen Dingen dann, wenn man ein File mit einem Haufen PhP-Funktionen erblickt, die vollends vom Raster abweichen. Zusätzlich kann man versuchen, diese beiden Tools laufen zu lassen: WP Anti-Wares und WP Security Scan.

Über den Autor

Robert Basic

Robert Basic ist Namensgeber und Gründer von BASIC thinking und hat die Seite 2009 abgegeben. Von 2004 bis 2009 hat er über 12.000 Artikel hier veröffentlicht.

33 Kommentare

  • du meinst generell oder eins mit einem verseuchten Template? Eins mit einem infizierten Template ist mir nicht bekannt, was auch daran liegen kann, dass es derjenige nicht mal selbst weiß

  • ja einen deutschen blog/blogger mit einem template der betroffen ist.
    du wirst recht haben, vieleicht weiss der/die jenige es dann nicht ;-/

    also augen auf jungens und mädels

  • In fast 70% aller Fälle sind die infizierten Codes im Footer untergebracht. Es ist ganz interessant zu schauen, wenn man solche freien Templates mal mit Security Programm durchleuchtet, was da alles vorkommt. Im Grunde kann man von „no-name“pemplates eigentlich fast indessen nur warnen.

  • nicht mehr lange und es wird bald Meldungen wie „wollen sie das wirklich“, „bestätigen sie bitte als Administrator“, „es soll ein unerlaubtes Paket gesendet werden“, „wollen sie den Artikel wirklich ändern, bestätigen sie als Administrator“ usw geben… :)) Die nächste Version heißt damit „WordPress Vista Reloaded“.

  • Es gibt bei WordPress prinzipiell die Möglichkeit ein Theme allein auf Basis eines anderen Themes zu gestalten. Es sind dann nur CSS Datei und Bilder unterschiedlich. Man muss im stylesheet einfach nur Template: parent-theme angeben. Das würde auch dem CSS Zen Garden viel näher kommen.

  • Und wie soll WP2.5 nun dafür Abhilfe schaffen??? Das nämlich suggerieren doch diese Nötigungen a la „Upgrade or else“ vom Geekrambler oder die Technorati-Aussagen, die da gerade in Umlauf sind…

  • ich bin einer der betroffenen gewesen. bei mir war ein plugin für wordpress mit einem trojaner verseucht… hab leider nicht mehr auf dem schirm welches es war. komisch nur das ich das ding schon fast ein jahr drauf hatte bevor es aktiv wurde… nun hab ich zwar alles gereinigt, google hats aber noch nicht ganz gerallt und stuft meine seite weiterhin als gefährlich ein… laut google kann das einige wochen dauern… ich bin gespannt.

  • hi robert,

    soweit ich das im netz mitverfolgt habe sind mit wp version 2.5. relativ viele lücken geschlossen worden…was aber natürlich nicht vor templates oder plugins feit die tor und tür öffnen.

    grüsse aus wen

  • (Zusatz zu #6:) @Uwe (Teddykrieger):
    Im Footer (genauer: footer.php) eines WP-Themes findet sich ganz am Dateiende eine PHP-Zeile, die für die Ausführung dynamisch eingefügten Codes gedacht ist: „do_action(‚wp_footer‘, “)“ steht da drin.

    Das nutzen z.B. Statistik- oder Performancetools und z.B. auch Bad Behavior, um Statusmeldungen ganz unten in der letzten Zeile des Blogs auszugeben.

    Wenn man keine Erweiterung hat, die dort etwas ausgeben soll, sollte man diese Zeile auskommentieren, damit sie nicht von „faulen“ Erweiterungen (oder Themes?) missbraucht werden kann.

  • WordPress geht es hier, wie fast jeder erfolgreichen Software. Je mehr Anwender es gibt, desto mehr lohnt sich ein Hack. Allerdings ist die Lücke, über die die letzten Spam-Hacks liefen, bekannt und ausgemerzt. WordPress war für die verwendete Methode nur bis Version 2.3.2 anfällig. Die Versionen 2.3.3 und 2.5 sind nicht betroffen.

    Und: alle Angriffe liefen über repacked Themes und Plugins. Also, es gibt eine sichere Methode, sich vor dieser Art von Problem zu schützen: Ladet Eure Themes und Plugins direkt beim Theme- oder Plugin-Autor herunter. Oder direkt von WordPress.org. Und nicht auf irgendwelchen dubiosen Seiten, die die Themes und Plugins von hunderten Autoren anbieten.

    Und ja, es kann wieder so ein Loch geben. Das lässt sich nicht ausschließen. Aber was ist die Alternative? Sich die Blog-Software selber schreiben? Können wohl die wenigsten. Oder einfach nicht mehr bloggen? Auch nicht wirklich toll.

    Die große Verbreitung von WordPress bringt aber auch einen großen Vorteil mit sich. Dadurch gibt es nämlich auch eine riesige Community, die die Lücken schnell entdeckt und die Löcher schließt. Wer die Sicherheitswarnungen und Update-Empfehlungen ernst genommen hat, war auch in diesem Fall nicht betroffen. Nur Leute mit alten Versionen wurden gehackt. Als die ersten Hacks auftraten, war die Version 2.3.3 schon mehr als zwei Wochen verfügbar.

    Und ansonsten bleibt zu sagen, dass es ein Null-Risiko nicht gibt. Nicht in diesem Universum. Es ist halt so – das Leben als solches ist gefährlich und endet im Allgemeinen mit dem Tod. Aber deswegen auf das Leben verzichten?

  • Ich hoffe natürlich, dass die Themen von Lothar frei von solchen Sachen sind. Eins davon nutze ich nämlich und hab es bei ihm direkt runtergeladen.

  • Ein Theme, das betroffen war oder noch ist, ist das Classic Blue CMS. Hier befand sich in der footer.php definitiv ein Exploit (PHP.Deftool.e) Hatte darüber bereits berichtet. Ob die Datei inzwischen bearbeitet wurde kann ich nicht sagen. Vielleicht hilft das ggf. jemanden weiter.

  • Ist das auch ein schadcode?

    body…?.php eval..(base64.._decode(‚aWYoJFIzN0MwMTREQUU1RkU0 […] M2NUUzRUQ5RTFCM TE1KTsgfSBmY2xvc2UoJFIzN0MwMTREQUU1RkU0RkU… zMDkxNik7‘)); ?

  • @Viktor: eval liest einen Text ein und versucht ihn als php auszuführen, mit base64_encode kann man den Text vorher noch etwas unkenntlich machen. Es wird also Schadcode sein.

  • btw. soviel ist Klar, das Theme war es nicht! Hab gerade die Version nochmal runtergeladen und es war frei davon. Brian Gardner kann also nichts dafür. Der Code war jedoch in allen drei Blogs (mit gleichem Theme) von mir enthalten! Entweder waren dies Plugins, die ich in allen dreien nutze, oder eine Schwachtelle des Themes?!?!

  • Das Script öffnet eine Verbindung (fsockopen) zum Server ‚wpssr . com‘ auf Port 80. Ich denke, da wird Code nachgeladen und versucht auszuführen.
    Andere sind davon auch betroffen. Siehe hier

  • danke für den Link! Paul Carroll schreibt, er hätte den Code im Template vorgefunden. Wie bereits geschrieben, war dies bei mir nicht der Fall, zumindest ist dieser Code nicht im Template enthalten, wenn ich es jetzt erneut runterlade.

    Kann ein Plugin etwas in in die header.php reinschreiben?

  • Bin zwar kein WP-Experte(habe vor langer Zeit auf s9y gewechselt), aber warum sollte in Plugin nicht in den Header schreiben. Gibt ja genug Plugins die genau das machen sollen.

  • ja, aber ich dachte dynamisch per ?injektion? (z.B. die Metatags in jede dynamische Seite) und nicht wirklich in die Datei an sich. Habe zumindest bisher noch kein Plugin gesehen, was mir etwas in die Datei selbst reingeschrieben hat. Nur im Quellcode der Seite.

  • Auf die Idee wäre ich nie gekommen, aber so dumm ist das ganze ja auch wieder nicht. was will man mehr, als einen user der freiwillig seine php scripte hochlädt ^^

  • […] Basic Thinking verweist auf das Problem freier WordPress-Templates hin – jedem Blogger kann so versucht werden, manipulierter Code unterzuschieben. Dass ältere WordPress-Installationen auch für andere Angriffe anfällig sind, ist kein Wunder. Das Ziel ganz häufig: das Google-Ranking verbessern. Meldet Heise. […]

  • […] keine Templates. Nicht existente Templates können auch nicht verseucht sein. So einfach ist das. Basic ThinkingSicherheit Persönliche DatenName:Webseite:KommentarMangels php auf dem Webspace ist das […]