Wer im Internet unterwegs ist nutzt auch Passwörter, wer Betreiber einer Webseite ist noch ein paar mehr. Klar ist es bequem bei einer Vielzahl an Passwörtern leichte und einprägsame Kombinationen zu benutzen. Ich kenne einige Leute, die für 10 oder mehr verschiedene Dienste ein und dasselbe Passwort verwenden. Gerade für FTP-Zugänge sind Oma-Opa-Tante-Passwörter alles andere als geeignet. Glücklich jener, der noch nie ein Problem damit hatte. Doch was nicht ist….

Anzeige

Sergej berichtet nun über einen WordPress-Schädling, dessen Einnistung ins System durch simple Passwörter ermöglicht wird. Es handelt sich um keine Sicherheitslücke bei WordPress sondern ausschließlich um die eigene Nachlässigkeit bei der Absicherung des eigenen Systems / Webservers. Was ein solcher Wurm alles anstellen kann weiß man aus vielen anderen Berichten im Zusammenhang mit Schadcode.

Wer sich also immer noch mit unzureichenden Passwörtern abgibt sollte schnell umdenken ehe es zum GAU kommt. Wem selbst kein sicheres Passwort einfällt, der kann sich von Gaijin durch einen Passwortgenerator helfen lassen. Zumindest kann man dort gut erkennen, was ein sicheres Passwort bedeutet. In diesem Zusammenhang lohnt auch ein Blick in Caschy’s Blog zum Thema WP-Login-Absicherung.

Natürlich kann man sich Schädlinge auch auf anderem Wege einfangen, z.B. über den Download von entsprechend „präparierten“ WordPress-Themes. Ein genauer Blick in die Templates kann also nie schaden, wenn man sich ein neues Design zulegen und dabei auf fertige Themes zurückgreifen will. Hinter solchen

Ausschnitt aus einem WordPress-Theme (hier Footer)

Ausschnitt aus einem WordPress-Theme (hier Footer)

Anzeige

oder ähnlichen Codestellen in den PHP-Dateien kann sich jede Menge an merkwürdigen Befehlen verbergen. Im Zweifelsfall sollte man sich lieber eines anderen Themes bedienen bevor die Freude über’s neue Design nur von kurzer Dauer ist!

7 Kommentare
  1. Markus sagte:

    Mein Passwort halte ich schon für sicher, da alle 4 Zeichenarten darin vorkommen. Obwohl es natürlich keine 100%ige Sicherheit gibt.

    Was das Theme angeht, sind mir solch cryptischen Zeilen noch nicht untergekommen. Da ich ja Themes grundsätzlich erst mal anpassen muss, und sei es „nur“ eine Übersetzung, schaue ich ich jedes einzelne Template rein. Und in meinem Hauptblog ist das Theme komplett Marke Eigenbau ;)

    Antworten
    • Thomas sagte:

      100% Sicherheit gibt es niemals, da gebe ich Dir durchaus recht. Wer aber die Bedeutung eines Passwortes nur soweit begriffen hat, dass er leicht knackbare Begriffe verwendet (u.U. sogar der jeweiligen Person zuordenbar) erzielt nicht mal 10 % Sicherheit.

      Meine Templates passe ich auch stets an, sodass jedes vor dem Einsatz von oben bis unten „durchleuchtet“ wird. Doch der Einbruch via FTP sorgt auch dafür, dass Templates im Nachhinein verändert, also diverse Codes eingefügt werden. Um so wichtiger ist die Absicherung dieses Bereichs. Was den Eigenbau betrifft – stimmt, kein Theme konnte mich bisher komplett zufrieden stellen :wink: .

      Antworten
  2. Markus sagte:

    Sicher, das Passwort sollte nicht leicht zu erraten sein. Ich lege meinen Hausschlüssel ja auch nicht vor die Tür, damit der Einbrecher nix kaputt macht ;)

    Das Theme halte ich noch nicht mal für das große Problem. Ich denke, 95% der User passen das Theme selbst an. Wer dabei wie viel Ahnung hat, lassen wir mal dahingestellt.

    Viel mehr Gefahr geht in meinen Augen von den unzähligen Plugins aus. Die Wenigsten WP-Anwender werden ein Plugin genauer untersuchen, ich selbst auch nicht. Denn solche Dinger wie „Subscribe to Comments“ oder „Ajax Edit Comments“ sind ja auch recht umfangreich und komplex. Dafür reichen meine Kenntnisse nicht aus.

    Antworten
  3. Schloemer Harald sagte:

    Wer kan mir helfen bin zimmlich neu im gebrauch meines Computers habe
    bis jetzt meine E-Mail u das Passwort benutzen können was im momment
    nicht mehr möglich ist und eine frage das Wort Webseite ist mir noch unbekannt. Danke für jedliche hilfe.

    M.f.G. Harald

    Antworten
    • Thomas sagte:

      @Harald: Willkommen bei Nicht spurlos. Das Thema „wie funktioniert das Internet“ hier aufzugreifen und umfassend alle damit entstehenden Fragen zu beantworten wäre ein sehr umfangreiche Angelegenheit. Auf dieser Seite findest Du vielleicht schon mal einiges, dass Dir weiterhelfen wird. Ansonsten wäre eventuell ein gutes Buch eine Hilfestellung für den Anfang.

      Warum jetzt E-Mail und Passwort nicht funktionieren lässt sich so nicht klären. Da gibt es viele Gründe woran es liegen kann. Ich wünsche Dir viel Erfolg.

      Antworten
  4. m0wlwUrf sagte:

    Hallo,

    erstmal: guter Beitrag. Das Passwort muss natürlich grundsätzlich sicher sein.

    Dennnoch war ich mir garnicht bewusst dass so eine Gefahr von den Themes ausgehen kann, allerdings ist das natürlich logisch.

    Ich denke, dass auch einige erfahrene Benutzer den obigen Code eher im Footer lassen würden, wenn sie nicht wissen, um was es sich handelt… von daher sollte bei WordPress evtl. eine Art „Qualitätssiegel“ eingeführt werden..wobei das natürlich auch mit großem Aufwand verbunden sein könnte.. :shock:

    Antworten
    • Thomas sagte:

      @Maulwurf: Willkommen bei Nicht spurlos. Das mit dem Qualitätsiegel hört sich gut an. Allerdings ist es dann natürlich so ne Sache mit den Kosten. So einen Siegel bekommt man bestimmt nicht umsonst. Und ob es dann noch gute Themes für lau gibt…. ich glaube nicht?! Ein Restrisiko gibt es eben immer.

      Antworten

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du kannst Dich informieren lassen wenn es Folgekommentare gibt. Du kannst aber auch abonnieren ohne zu kommentieren.