Wer im Internet unterwegs ist nutzt auch Passwörter, wer Betreiber einer Webseite ist noch ein paar mehr. Klar ist es bequem bei einer Vielzahl an Passwörtern leichte und einprägsame Kombinationen zu benutzen. Ich kenne einige Leute, die für 10 oder mehr verschiedene Dienste ein und dasselbe Passwort verwenden. Gerade für FTP-Zugänge sind Oma-Opa-Tante-Passwörter alles andere als geeignet. Glücklich jener, der noch nie ein Problem damit hatte. Doch was nicht ist….
Sergej berichtet nun über einen WordPress-Schädling, dessen Einnistung ins System durch simple Passwörter ermöglicht wird. Es handelt sich um keine Sicherheitslücke bei WordPress sondern ausschließlich um die eigene Nachlässigkeit bei der Absicherung des eigenen Systems / Webservers. Was ein solcher Wurm alles anstellen kann weiß man aus vielen anderen Berichten im Zusammenhang mit Schadcode.
Wer sich also immer noch mit unzureichenden Passwörtern abgibt sollte schnell umdenken ehe es zum GAU kommt. Wem selbst kein sicheres Passwort einfällt, der kann sich von Gaijin durch einen Passwortgenerator helfen lassen. Zumindest kann man dort gut erkennen, was ein sicheres Passwort bedeutet. In diesem Zusammenhang lohnt auch ein Blick in Caschy’s Blog zum Thema WP-Login-Absicherung.
Natürlich kann man sich Schädlinge auch auf anderem Wege einfangen, z.B. über den Download von entsprechend “präparierten” WordPress-Themes. Ein genauer Blick in die Templates kann also nie schaden, wenn man sich ein neues Design zulegen und dabei auf fertige Themes zurückgreifen will. Hinter solchen
Ausschnitt aus einem WordPress-Theme (hier Footer)
oder ähnlichen Codestellen in den PHP-Dateien kann sich jede Menge an merkwürdigen Befehlen verbergen. Im Zweifelsfall sollte man sich lieber eines anderen Themes bedienen bevor die Freude über’s neue Design nur von kurzer Dauer ist!
WordPress 2.8.x – Sicherheitslücke Scheinbar längere Zeit unbemerkt hat sich eine schwere Sicherheitslücke in die Versionen von Wordpress 2.8.x eingeschlichen. So ist es durch diesen Fehler möglich das Passwort des Admins per Exploit ...- Mehr Absicherung für WordPress Wordpress richtig absichern ist immer wieder ein Thema. Vor drei Tagen hatte ich noch darüber berichtet und heute flattert schon die Lösung via Ecki in meinen Feedreader.
Der Virenwächter für Wordpress ...
- Kein feiner Zug von Automattic Nicht jeder der Wordpress nutzt ist auch in der Entwicklung von WP-Themes firn und bediente sich bislang bei den unter der GPL veröffentlichten Themes unter wordpress.org. Über Nacht sind zweihundert ...
Markus
Mein Passwort halte ich schon für sicher, da alle 4 Zeichenarten darin vorkommen. Obwohl es natürlich keine 100%ige Sicherheit gibt.
Was das Theme angeht, sind mir solch cryptischen Zeilen noch nicht untergekommen. Da ich ja Themes grundsätzlich erst mal anpassen muss, und sei es “nur” eine Übersetzung, schaue ich ich jedes einzelne Template rein. Und in meinem Hauptblog ist das Theme komplett Marke Eigenbau ;)
Thomas bei Twitter: nichtspurlos
100% Sicherheit gibt es niemals, da gebe ich Dir durchaus recht. Wer aber die Bedeutung eines Passwortes nur soweit begriffen hat, dass er leicht knackbare Begriffe verwendet (u.U. sogar der jeweiligen Person zuordenbar) erzielt nicht mal 10 % Sicherheit.
Meine Templates passe ich auch stets an, sodass jedes vor dem Einsatz von oben bis unten “durchleuchtet” wird. Doch der Einbruch via FTP sorgt auch dafür, dass Templates im Nachhinein verändert, also diverse Codes eingefügt werden. Um so wichtiger ist die Absicherung dieses Bereichs. Was den Eigenbau betrifft – stimmt, kein Theme konnte mich bisher komplett zufrieden stellen
.
Markus
Sicher, das Passwort sollte nicht leicht zu erraten sein. Ich lege meinen Hausschlüssel ja auch nicht vor die Tür, damit der Einbrecher nix kaputt macht ;)
Das Theme halte ich noch nicht mal für das große Problem. Ich denke, 95% der User passen das Theme selbst an. Wer dabei wie viel Ahnung hat, lassen wir mal dahingestellt.
Viel mehr Gefahr geht in meinen Augen von den unzähligen Plugins aus. Die Wenigsten WP-Anwender werden ein Plugin genauer untersuchen, ich selbst auch nicht. Denn solche Dinger wie “Subscribe to Comments” oder “Ajax Edit Comments” sind ja auch recht umfangreich und komplex. Dafür reichen meine Kenntnisse nicht aus.