Greeez! Auch im Oktober gibt’s von mir wieder ein Update über alle neuesten Neuigkeiten bei WordPress, damit Sie nicht nur up-to-date bleiben, sondern auch beim nächsten Small Talk mit Freunden gleich wieder mega-interessante News und wichtige Infos zum Besten geben können.

Die Macht ist mit dir, Sicherheitslücke!

Ja, die lieben Sicherheitslücken. Mit denen ist als Websiteinhaber und -betreiber oder als Programmierer und Entwickler einfach nicht gut Kirschenessen.

Aktuell gibt es wieder drei größere Sicherheitsrisiken, die die Internetcommunity beschäftigen:

Das Dilemma mit XML-RPC

Brachiale Gewalt. So könnte man „Brute Force“ auch übersetzen. Gemeint sind, unabhängig vom CMS, Attacken auf Login-Seiten und dem damit einhergehenden, stupiden Ausprobieren von Passwörtern. Man könnte ja Glück haben. Und ja, manchmal klappt das sogar. Dabei könnte man die halbe Gefahr schon mittels guter und sicherer Passwörter bannen.

XML-RPC steht für „Extensible Markup Language – Remote Procedure Call“ und beschreibt den sprach- und systemunabhängigen Austausch von Daten.

Damit XML-RPC ohne großen Aufwand in verschiedenen Systemen implementier- und einsetzbar ist, kombiniert es HTTP (für den Transport der Daten) und XML (Darstellung der Daten) miteinander.

XML-RPC ist mehr als hilfreich wenn es darum geht, Anwendungen zu erlauben mehrere Befehle mit nur einer HTTP-Anfrage auszuführen. Doch kann diese Methode auch für Brute Force Attacken genutzt werden. D.h. Eine externe HTTP-Anfrage, z.B. ein Login-Versuch, führt gleich mehrere hundert Username/Passwort-Kombinationen aus. Resultat: Unser Sicherheitssystem bekommt nur eine Anfrage ab, stuft diese eine Anfrage aber noch nicht als Bedrohung ein (schließlich haben wir erst ab 25 Anfragen eingestellt) und blockiert daher – genau – gar nichts! Und das, obwohl unsere Page schon Hang-Man-mäßig am Strickchen baumelt. Schöner Scheiß.

Was also dagegen tun?

Option 1: Am besten ist es die xmlrpc.php zu blocken. Das geht z.B. indem man folgendes in seiner functions.php ergänzt:

add_filter( 'xmlrpc_enabled', '__return_false' );

Lt. Internetquellen legt dies aber möglicherweise verschiedene Plugins lahm¹. Davon soll z.B. JetPack betroffen sein.

Option 2: Wer Apache als Webserver verwendet kann in seiner .htaccess-Datei bestimmte Programme zulassen oder sperren. Hier ein Beispiel von Sergej Müller: https://gist.github.com/sergejmueller/0c0999871b733a7db5c1

Danach sollte man – zumindest aktuell – auf der sicheren Seite sein.

Visual Composer

Ein anderes Sicherheitsthema ist diesmal noch der Visual Composer. Das beliebte Page Builder Plugin ist in den Version bis 4.7.3 von Cross-Site-Scripting (XSS) Sicherheitslücken betroffen. Envato, Anbieter des Visual Composers, und WPBakery, der Hersteller, haben sich zusammengetan, um diese Sicherheitslücken schnellstmöglich zu schließen. Wenn Sie noch nicht geupdatet haben, dann bitte sofort nachholen. Die gefixte Version ist die 4.7.4.

Ein Lachen stört Akismet

Nicht lustig, aber trotzdem zum Schmunzeln: Noch vor zwei Tagen kam eine weitere Meldung rein. Diesmal meldete sucuri eine Sicherheitslücke im Akismet WordPress Plugin. Akismet stellt einen Filterservice gegen Suchmaschinen-Spamming zur Verfügung. Dabei sendet es die Kommentare an Server in die USA um sie dort untersuchen zu lassen. Problematisch ist, dass Aksimet standardmäßig mit WordPress ausgeliefert wird und daher ist in (fast) jeder Installation zu finden sein dürfte. Aus Datenschutzgründen wird es in Deutschland aber oft nicht verwendet.

Betroffen sind die Versionen 3.1.4 und jünger. Und nur dann, wenn man die automatische Smiley-Umwandlung aktiviert hat (ist standardmäßig der Fall).

Oh man. Wer hätte gedacht, dass ein (Smiley-)Lachen so etwas auslösen könnte?

Into the Core – WordPress wird erweitert.

Der Core – Der Kern. Der Ursprung allen (Website-)Lebens wird erweitert. Integriert werden gleich drei Plugins, die dann standardmäßig in WordPress ihre Funktionen zur Verfügung stellen.

1. REST API WordPress ist nun auf dem besten Wege zu einem ausgereiften Framework. Das erfordert natürlich auch neue Techniken.
 Die REST-API ist eine Schnittstelle mit denen WordPress es möglich macht, direkt von Aussen Daten abzufragen oder hochzuladen. D.h. man kann seine Artikel abrufen oder neue Benutzer erstellen. Das eröffnet ungeahnte, neue Möglichkeiten. Fit für die Zukunft also.
2. oEmbed API Sicherlich kennen Sie folgendes Szenario: Sie möchten z.B. ein YouTube Video auf Ihrer WordPress Page veröffentlichen, kopieren sich den Link, fügen ihn in den Post ein und schwupp-di-wupp integriert WordPress automatisch das Video.
   Leider funktioniert dies nicht mit allen Links, wie z.B. mit anderen Blogpost-Links. Dafür gibt es das Plugin oEmbed API, welches nun dafür sorgt, dass man kinderleicht jeden Blogpost irgendwo auf der Website integrieren kann. Darüber hinaus kann auch das Erscheinungsbild angepasst werden.
   Coole Sache, die nun auch mit in den Core übernommen wird.
3. RICG Responsive Images
   Mit Hilfe dieses Plugins werden bei jedem Bildupload in die Mediathek alle möglichen Responsive-Bildgrößen inkludiert. Bilder werden damit sofort auf Responsive-Größen voreingestellt und entsprechend für das Endgerät ausgeliefert. Funktioniert zwar noch nicht sooo ganz in allen Browsern aber trotzdem ein Schritt in die richtige Richtung. Exzessive Bildbearbeitung und Javascript-Gefummel Good-Bye!

Last but not least

Zum Schluss habe ich noch einen Tipp für Sie. Schauen Sie doch mal bei wordpress.tv vorbei. Dort finden Sie regelmäßig interessante Videos von verschiedenen Speakern zu den verschiedensten WordPress Themen. Vielleicht ist ja auch mal ein interessanter Content für Sie dabei, aus dem der ein oder andere Input für die eigene Website rausgezogen werden kann.

Außerdem finden Sie dort auch die Videos der Speaker des letzten WordCamps.

Lassen Sie sich inspirieren!

Melanie Simeth
Dipl.-Ing. (FH)
Projekt- & Contentmanagerin

Weiterlesen im Internet

• Brute Force Amplification Attacks Against WordPress XMLRPC bei sucuri.net (englisch)
• .htaccess Schnippsel von Sergej Müller zum Blocken von Programmen auf die XML-RPC Schnittstelle
• Security Advisory: Stored XSS in Akismet WordPress Plugin bei sucuri.net (englisch)
• Was ist Suchmaschinen-Spamming? – Ein Eintrag bei Wikipedia
• Bekanntmachung der Sicherheitsprobleme beim Visual Composer
• oEmbed API Plugin
• RICG Responsive Images Plugin
• Link zu WordPress TV
• The First Half of the REST API Is Officially Added to WordPress Core bei WP-Tavern (englisch)

Fußnoten:

1. https://blog.sucuri.net/2015/10/brute-force-amplification-attacks-against-wordpress-xmlrpc.html ↩