{"id":15,"date":"2015-10-16T19:04:02","date_gmt":"2015-10-16T17:04:02","guid":{"rendered":"http:\/\/revue.local\/?post_type=newsletter&p=15"},"modified":"2016-03-15T12:22:21","modified_gmt":"2016-03-15T11:22:21","slug":"wieder-sicherheitsluecken-in-wordpress-plugins","status":"publish","type":"post","link":"https:\/\/revue.local\/wieder-sicherheitsluecken-in-wordpress-plugins\/","title":{"rendered":"Wieder Sicherheitsl\u00fccken in popul\u00e4ren WordPress Plugins."},"content":{"rendered":"

Greeez!<\/strong> Auch im Oktober gibt\u2019s von mir wieder ein Update \u00fcber alle neuesten Neuigkeiten bei WordPress, damit Sie nicht nur up-to-date bleiben, sondern auch beim n\u00e4chsten Small Talk mit Freunden gleich wieder mega-interessante News und wichtige Infos zum Besten geben k\u00f6nnen.<\/p>\n

Die Macht ist mit dir, Sicherheitsl\u00fccke!<\/h2>\n

Ja, die lieben Sicherheitsl\u00fccken. Mit denen ist als Websiteinhaber und -betreiber oder als Programmierer und Entwickler einfach nicht gut Kirschenessen.<\/p>\n

Aktuell gibt es wieder drei gr\u00f6\u00dfere Sicherheitsrisiken, die die Internetcommunity besch\u00e4ftigen:<\/p>\n

Das Dilemma mit XML-RPC<\/h3>\n

Brachiale Gewalt. So k\u00f6nnte man \u201eBrute Force\u201c auch \u00fcbersetzen. Gemeint sind, unabh\u00e4ngig vom CMS, Attacken auf Login-Seiten und dem damit einhergehenden, stupiden Ausprobieren von Passw\u00f6rtern. Man k\u00f6nnte ja Gl\u00fcck haben. Und ja, manchmal klappt das sogar. Dabei k\u00f6nnte man die halbe Gefahr schon mittels guter und sicherer Passw\u00f6rter bannen.<\/p>\n

XML-RPC steht f\u00fcr \u201eExtensible Markup Language – Remote Procedure Call\u201c und beschreibt den sprach- und systemunabh\u00e4ngigen Austausch von Daten.<\/p>\n

Damit XML-RPC ohne gro\u00dfen Aufwand in verschiedenen Systemen implementier- und einsetzbar ist, kombiniert es HTTP (f\u00fcr den Transport der Daten) und XML (Darstellung der Daten) miteinander.<\/p>\n

XML-RPC ist mehr als hilfreich wenn es darum geht, Anwendungen zu erlauben mehrere Befehle mit nur einer HTTP-Anfrage auszuf\u00fchren. Doch kann diese Methode auch f\u00fcr Brute Force Attacken genutzt werden. D.h. Eine externe HTTP-Anfrage, z.B. ein Login-Versuch, f\u00fchrt gleich mehrere hundert Username\/Passwort-Kombinationen aus. Resultat: Unser Sicherheitssystem bekommt nur eine Anfrage ab, stuft diese eine Anfrage aber noch nicht als Bedrohung ein (schlie\u00dflich haben wir erst ab 25 Anfragen eingestellt) und blockiert daher – genau – gar nichts! Und das, obwohl unsere Page schon Hang-Man-m\u00e4\u00dfig am Strickchen baumelt. Sch\u00f6ner Schei\u00df.<\/p>\n

Was also dagegen tun?<\/strong><\/p>\n

Option 1: Am besten ist es die xmlrpc.php zu blocken. Das geht z.B. indem man folgendes in seiner functions.php erg\u00e4nzt:<\/p>\n

add_filter( 'xmlrpc_enabled', '__return_false' );\r\n<\/code><\/pre>\n
Lt. Internetquellen legt dies aber m\u00f6glicherweise verschiedene Plugins lahm1<\/a><\/sup>. Davon soll z.B. JetPack betroffen sein.<\/p>\n
Option 2: Wer Apache als Webserver verwendet kann in seiner .htaccess-Datei bestimmte Programme zulassen oder sperren. Hier ein Beispiel von Sergej M\u00fcller: https:\/\/gist.github.com\/sergejmueller\/0c0999871b733a7db5c1<\/a><\/p>\n
Danach sollte man – zumindest aktuell – auf der sicheren Seite sein.<\/p>\n
Visual Composer<\/h3>\n
Ein anderes Sicherheitsthema ist diesmal noch der Visual Composer<\/strong>. Das beliebte Page Builder Plugin ist in den Version bis 4.7.3 von Cross-Site-Scripting (XSS) Sicherheitsl\u00fccken betroffen. Envato<\/a>, Anbieter des Visual Composers, und WPBakery<\/a>, der Hersteller, haben sich zusammengetan, um diese Sicherheitsl\u00fccken schnellstm\u00f6glich zu schlie\u00dfen. Wenn Sie noch nicht geupdatet haben, dann bitte sofort nachholen. Die gefixte Version ist die 4.7.4.<\/p>\n
Ein Lachen st\u00f6rt Akismet<\/h3>\n
Nicht lustig, aber trotzdem zum Schmunzeln: Noch vor zwei Tagen kam eine weitere Meldung rein. Diesmal meldete sucuri eine Sicherheitsl\u00fccke im Akismet WordPress Plugin. Akismet stellt einen Filterservice gegen Suchmaschinen-Spamming zur Verf\u00fcgung. Dabei sendet es die Kommentare an Server in die USA um sie dort untersuchen zu lassen. Problematisch ist, dass Aksimet standardm\u00e4\u00dfig mit WordPress ausgeliefert wird und daher ist in (fast) jeder Installation zu finden sein d\u00fcrfte. Aus Datenschutzgr\u00fcnden wird es in Deutschland aber oft nicht verwendet.<\/p>\n
Betroffen sind die Versionen 3.1.4 und j\u00fcnger. Und nur dann, wenn man die automatische Smiley-Umwandlung aktiviert hat (ist standardm\u00e4\u00dfig der Fall).<\/p>\n
Oh man. Wer h\u00e4tte gedacht, dass ein (Smiley-)Lachen so etwas ausl\u00f6sen k\u00f6nnte?<\/p>\n
Into the Core – WordPress wird erweitert.<\/h2>\n
Der Core – Der Kern. Der Ursprung allen (Website-)Lebens wird erweitert. Integriert werden gleich drei Plugins, die dann standardm\u00e4\u00dfig in WordPress ihre Funktionen zur Verf\u00fcgung stellen.<\/p>\n
    \n
  1. REST API<\/a> WordPress ist nun auf dem besten Wege zu einem ausgereiften Framework. Das erfordert nat\u00fcrlich auch neue Techniken.\u2028 Die REST-API ist eine Schnittstelle mit denen WordPress es m\u00f6glich macht, direkt von Aussen Daten abzufragen oder hochzuladen. D.h. man kann seine Artikel abrufen oder neue Benutzer erstellen. Das er\u00f6ffnet ungeahnte, neue M\u00f6glichkeiten. Fit f\u00fcr die Zukunft also.<\/li>\n
  2. oEmbed API<\/a> Sicherlich kennen Sie folgendes Szenario: Sie m\u00f6chten z.B. ein YouTube Video auf Ihrer WordPress Page ver\u00f6ffentlichen, kopieren sich den Link, f\u00fcgen ihn in den Post ein und schwupp-di-wupp integriert WordPress automatisch das Video.
    \nLeider funktioniert dies nicht mit allen Links, wie z.B. mit anderen Blogpost-Links. Daf\u00fcr gibt es das Plugin     oEmbed API<\/a>, welches nun daf\u00fcr sorgt, dass man kinderleicht jeden Blogpost irgendwo auf der Website integrieren kann. Dar\u00fcber hinaus kann auch das Erscheinungsbild angepasst werden.
    \nCoole Sache, die nun auch mit in den Core \u00fcbernommen wird.<\/li>\n
  3. RICG Responsive Images<\/a>
    \nMit Hilfe dieses Plugins werden bei jedem Bildupload in die Mediathek alle m\u00f6glichen Responsive-Bildgr\u00f6\u00dfen inkludiert. Bilder werden damit sofort auf Responsive-Gr\u00f6\u00dfen voreingestellt und entsprechend f\u00fcr das Endger\u00e4t ausgeliefert. Funktioniert zwar noch nicht sooo ganz in allen Browsern aber trotzdem ein Schritt in die richtige Richtung. Exzessive Bildbearbeitung und Javascript-Gefummel Good-Bye!<\/li>\n<\/ol>\n
    Last but not least<\/h2>\n
    Zum Schluss habe ich noch einen Tipp f\u00fcr Sie. Schauen Sie doch mal bei wordpress.tv<\/a> vorbei. Dort finden Sie regelm\u00e4\u00dfig interessante Videos von verschiedenen Speakern zu den verschiedensten WordPress Themen. Vielleicht ist ja auch mal ein interessanter Content f\u00fcr Sie dabei, aus dem der ein oder andere Input f\u00fcr die eigene Website rausgezogen werden kann.<\/p>\n
    Au\u00dferdem finden Sie dort auch die Videos der Speaker des letzten WordCamps.<\/p>\n
    Lassen Sie sich inspirieren!<\/p>\n
    Melanie Simeth
    \nDipl.-Ing. (FH)
    \nProjekt- & Contentmanagerin<\/p>\n
    Weiterlesen im Internet<\/h2>\n