News Angriffe gegen Wordpress-Installationen bei Web-Hostern und Blogs

[glacios]

Wenn das so unsicher wäre, dann müssten ja tausende Blogger von Schadcode geradezu überflutet werden. Nein, nein, ich halte das für Spinnerei einiger Ich-mach-immer-alles-selber-Spinner aus dem letzten Jahrtausend.
Es ist halt nicht nerdy genug, wenn man sich von Blogsoftware unter die Arme greifen lässt.

 

[Daaron]

2. IP's der Angreifer sperren
Dafür gibt es ein hilfreiches Plugin "Limit Login Attempts", welches man direkt in WP installieren kann.
"Installed Plugins" - "Add new" - "Search Plugins" ...
Damit sperrt man die IP des Angreifers für eine gewisse Zeit wenn er die eingestellte Anzahl der Loginversuche aufgebraucht hat.

Diese IP-Sperre ist dann aber nur auf Basis des PHP-Scripts. Alle Anfragen des Brute Force gehen ERST einmal an das Login-Script um dort dann abgeschmettert zu werden. Das ist zwar besser als nichts, aber ein schönes sicheres Passwort würde auch so einem BF Stand halten... leider wird diese Sorte Passwörter vom typischen WP-Klientel eben nicht benutzt. Das typische WP-Klientel hat WP gewählt, weil es a) gerade hip ist und b) weil es auch DAU-tauglich zu sein scheint.

Eine IP-Sperre auf .htaccess wäre sinnvoller. Hier müsste "nur" der Apache noch Arbeit leisten und gucken, ob die IP blacklistet ist. Das ist aber auch keine Option, denn die .htaccess dynamisch wachsen und schrumpfen zu lassen ist nicht ganz ohne.

Viel sinniger, aber nur für Leute mit wirklich flexiblen Hostern möglich, wäre: erstelle aus fehlgeschlagenen Logins eine Log-File und lasse diese Logfile von Fail2Ban auswerten. Dann blockt bereits iptables den Traffic, der Server bleibt dadurch nahezu stressfrei.

Das Kernproblem bleibt: Wenn ich in ein CMS erst zig Addons installieren oder die .htaccess manipulieren muss, damit das CMS leidlich sicher ist, dann ist es ein wirklich schlechtes CMS.

Wordpress kann nur durch seine Einfachheit punkten. In den Code sollte man aber möglichst nicht schauen.

Jep, ich sag nur "standardmäßiges Memory-Setting von 256MB".... Wenn du als Hoster mal richtig Spaß haben willst, dann lässt du Suhosin-Warnungen von Fail2Ban auswerten und mit Temp Bans quittieren. Das kegelt jeden WP-Admin innerhalb von Sekunden vom Server.
Die Codebasis von WP ist wirklich SOWAS von schlecht, da ist Brechreiz noch untertrieben.

Ich hab die News so verstanden, dass es um Bruteforceattacken auf die Login-Funktion geht.
Also nicht um Sicherheitslücken.

Ja, diesmal geht es um BF... aber auch nur, weil WP eben auch dagegen keinen Schutz bietet. Contao deaktiviert z.B. Accounts nach ein paar Login-Versuchen temporär. Außerdem gibt es keinen standardmäßigen Admin-Account. DU als User entscheidest, wie dein Admin heißen wird.
Das ändert aber nichts daran, dass WP eine wandelnde Sicherheitslücke ist. Schau mal in die Changelogs, was da zwischen 2 Versionen immer so an kritischen Lücken gefixt wird...

Gibt es denn vernünftige Alternativen zu Wordpress. Kann da jemand von guten Erfahrungen berichten?

Im Blogging-Bereich kenne ich nichts ähnlich einfaches. Alle anderen CMS sind um einiges komplexer zu bedienen, sind dafür aber auch:
- stabiler
- schneller
- SICHERER

Wenn es nicht um Blogging geht: Finger weg von WP. Hier kann jedes andere gute Open Source CMS (z.B. Contao, Joomla oder Drupal) deutlich mehr.

Gibt es denn ein ebenso intuitiv bedienbares und einfaches Blog-CMS, das auch völlig IT-fremde Personen problemlos bedienen können und das auf den meisten Webhostern läuft?.

Bedienen oder installieren?
Ein Contao erstmalig aufzusetzen und passende Extensions zu wählen ist etwas schwieriger als bei WP. Wenn man aber erst einmal die Seitenstruktur, die Module und ein Theme zusammengestellt hat, ist der Rest pille palle. Während die reguläre News-Funktion von Contao wirklich zu schwachbrüstig für einen Blog ist, kann man dieses Problem z.B. mit news4ward wirklich effektiv lösen. Das im Core befindliche Kalendermodul ist bereits recht mächtig, aber auch dafür gibt es ein Upgrade (Terminverschiebungen, bessere Wiederholungen).
SEO-technisch und hinsichtlich Code-Validität ist Contao auf jeden Fall ein paar Jahrzehnte vor Wordpress... und was die Sicherheit und Sauberkeit des Codes angeht ebenfalls.

Wenn das so unsicher wäre, dann müssten ja tausende Blogger von Schadcode geradezu überflutet werden. Nein, nein, ich halte das für Spinnerei einiger Ich-mach-immer-alles-selber-Spinner aus dem letzten Jahrtausend.
Es ist halt nicht nerdy genug, wenn man sich von Blogsoftware unter die Arme greifen lässt.

Was hat das mit nerdy zu tun? Contao mit einigen Extensions gibt ein verdammt gutes Blog ab. Dasselbe Problem lässt sich aber auch mit Drupal oder Joomla lösen. Auch mit TYPO3 (so nervig überladen es auch ist) kann man bloggen.

Die Unterschiede zu Wordpress sind einfach:
- diese CMS sind sicherer und performanter
- diese CMS sind schwerer zu bedienen, sie sind nicht auf totale DAUs geeicht. Das Klientel ernsthafter CMS weiß um den Wert von Sicherheit und um die Pfuscharbeit im Wordpress-Code
- diese CMS haben keine monströse Lobby, keine dröhnenden Blogger-Massen, die nur Einfachheit sehen
- für diese CMS existiert nicht so eine Masse an spottbilligen Templates aus Indien, China, Russland... Wer sagt dir, dass dein 10€-Template nicht randvoll mit Schadsoftware ist? Dass Qualität ihren Preis hat ist bei der Generation Wordpress ebenfalls nicht angekommen.

Auf einem unserer Server ist letztens erst ein etwas veraltetes Wordpress eines Kunden gehackt wurden und wurde danach als Spamschleuder missbraucht. Sag also nicht, dass WP nicht gehackt wird. Es WIRD gehackt, und zwar massiv. Ist ja auch nicht schwer. Der Code ist eine absolute Katastrophe.

 

[Kraligor]

Bedienen oder installieren?
Ein Contao erstmalig aufzusetzen und passende Extensions zu wählen ist etwas schwieriger als bei WP. Wenn man aber erst einmal die Seitenstruktur, die Module und ein Theme zusammengestellt hat, ist der Rest pille palle. Während die reguläre News-Funktion von Contao wirklich zu schwachbrüstig für einen Blog ist, kann man dieses Problem z.B. mit news4ward wirklich effektiv lösen. Das im Core befindliche Kalendermodul ist bereits recht mächtig, aber auch dafür gibt es ein Upgrade (Terminverschiebungen, bessere Wiederholungen).
SEO-technisch und hinsichtlich Code-Validität ist Contao auf jeden Fall ein paar Jahrzehnte vor Wordpress... und was die Sicherheit und Sauberkeit des Codes angeht ebenfalls.

Bedienen, ist für meine Freundin. Einrichten ist kein Thema. Danke für die Tipps, werde mir Contao ansehen.

 

[Cordesh]

Zitat von Cordesh
2. IP's der Angreifer sperren
Dafür gibt es ein hilfreiches Plugin "Limit Login Attempts", welches man direkt in WP installieren kann.
"Installed Plugins" - "Add new" - "Search Plugins" ...
Damit sperrt man die IP des Angreifers für eine gewisse Zeit wenn er die eingestellte Anzahl der Loginversuche aufgebraucht hat.

Antwort:

1. Diese IP-Sperre ist dann aber nur auf Basis des PHP-Scripts. Alle Anfragen des Brute Force gehen ERST einmal an das Login-Script um dort dann abgeschmettert zu werden. Das ist zwar besser als nichts, aber ein schönes sicheres Passwort würde auch so einem BF Stand halten... leider wird diese Sorte Passwörter vom typischen WP-Klientel eben nicht benutzt. Das typische WP-Klientel hat WP gewählt, weil es a) gerade hip ist und b) weil es auch DAU-tauglich zu sein scheint.

2. Eine IP-Sperre auf .htaccess wäre sinnvoller. Hier müsste "nur" der Apache noch Arbeit leisten und gucken, ob die IP blacklistet ist. Das ist aber auch keine Option, denn die .htaccess dynamisch wachsen und schrumpfen zu lassen ist nicht ganz ohne.

3. Viel sinniger, aber nur für Leute mit wirklich flexiblen Hostern möglich, wäre: erstelle aus fehlgeschlagenen Logins eine Log-File und lasse diese Logfile von Fail2Ban auswerten. Dann blockt bereits iptables den Traffic, der Server bleibt dadurch nahezu stressfrei.

4. Das Kernproblem bleibt: Wenn ich in ein CMS erst zig Addons installieren oder die .htaccess manipulieren muss, damit das CMS leidlich sicher ist, dann ist es ein wirklich schlechtes CMS.

Ich hab mal Ziffern eingefügt, um meine Antworten darauf berufen zu können.
Du machst in dem gequoteten Abschnitt den gleichen Fehler wie flugser.
Du beurteilst das CMS WP anhand seiner Popularität und der deswegen laufenden Bruteforceattacke.

Um das nochmal klar zu machen (scheint notwendig zu sein); es wird bei der laufenden Attacke KEINE vermeintliche Sicherheitslücke ausgenutzt.
Es wird einfach versucht sich einzuloggen.
Das wäre genauso, als wenn sich jemand in das von Dir vorgeschlagene CMS Contao einloggen wollte.

Zu 1:
Ja, das php-Script schmettert die Anfragen ab. Per Plugin welches man aus dem CMS heraus installieren kann.
Ob die Anfragen vom php-Script, Apache oder sonstwas abgefangen werden interessiert mich nicht.
Es läuft eh alles auf dem Server. Wer da jetzt die Tür zumacht ist mir egal.

WP zeigt einem die Passwortsicherheit an.
Wer trotzdem unsichere PW wählt, wird das auch in jedem anderen CMS machen.
Das kann man also nicht WP ankreiden.

Zu 2:
"Wäre" "hätte" "wenn" interessiert mich nicht.
Es ist "nicht ganz ohne", scheidet also aus. Außerdem, mit dem Plugin haben wir eine Lösung die funktioniert.

Zu 3:
Auch hier wieder "Wäre" "hätte" "wenn".
Wenn ich nen "wirklich flexiblen Hoster" brauche, dann scheidet das für die allermeisten CMS User aus. Punkt.

Zu 4.:
Es gibt kein "Kernproblem" in WP.
Diese Brutforceattacken auf den Login kann man gegen jedes System starten, welches von außen einen Login ermöglicht.
Sie finden nur statt, weil WP so viel genutzt wird.

Ja, diesmal geht es um BF... aber auch nur, weil WP eben auch dagegen keinen Schutz bietet. Contao deaktiviert z.B. Accounts nach ein paar Login-Versuchen temporär. Außerdem gibt es keinen standardmäßigen Admin-Account. DU als User entscheidest, wie dein Admin heißen wird.

Das findest Du besser?
Irgendwelche Typen die in mein CMS einbrechen wollen schaffen es damit also, dass ich mich nicht mehr einloggen kann, weil mein Account gesperrt ist?
Und dann?
Ich hab mal recherchiert (http://www.contao-anleitungen.de/post/administrator-passwort-zuruecksetzen.html):

Man muss entweder eine Erweiterung installiert haben ("Wenn ich in ein CMS erst zig Addons installieren...") mit der man sich sein PW per eMail zurücksetzen lassen kann.
Geht. Kann man machen.
Aber was ist daran besser? Bei einer Bruteforceattacke kann der Account innerhalb Sekunden nach Freigabe per eMail schon wieder gesperrt sein.

Oder:

Man muss sein PW in der Datenbank per Zugriff via phpMyAdmin zurücksetzen.
Dieser Vorgang, direktes Editieren in einer Datenbank, bedeutet erstmal ein Backup der Datenbank erstellen, und dann gut aufpassen und ja keinen Fehler bei diesem nicht ganz trivialen Unterfangen machen.
Für mich als IT'ler ist das kein Problem, aber willste das wirklich normalen Anwendern zumuten?

Beides ist für mich nicht akzeptabel.
Wenn ich eins als Admin doch ganz sicher nicht will, dann das mich diese Typen ärgern und zu Handlungen zwingen.
Dieses Deaktivieren eines Accounts, ist für mich das ganz klare AUS für Contao.
Wenn andere mich durch simples mehrmaliges Eingeben eines falschen PW aus meinem eigenen System ausperren können, dann hat das System für mich einen schweren Mangel.

WP mag nicht perfekt sein, aber es funktioniert, wird ständig weiterentwickelt und bekannt gewordene Fehler werden gefixed.
Da es nicht ständig Meldungen alla "wieder zig tausend WP Blogs gehackt" gibt, scheinen die angeblichen Sicherheitslücken wohl doch nicht so groß zu sein.

 

[Daaron]

Um das nochmal klar zu machen (scheint notwendig zu sein); es wird bei der laufenden Attacke KEINE vermeintliche Sicherheitslücke ausgenutzt.
Es wird einfach versucht sich einzuloggen.
Das wäre genauso, als wenn sich jemand in das von Dir vorgeschlagene CMS Contao einloggen wollte.

Contao kannst du aber nicht so leicht brute-forcen.
1.) der Admin heißt nicht admin, er heißt meinetwegen m.mueller
2.) Accounts werden bei Fehleingaben deaktiviert

Es läuft eh alles auf dem Server. Wer da jetzt die Tür zumacht ist mir egal.

Nicht dem Server... Wenn das OS per iptables dicht macht ist das viel performanter, als wenn Apache via .htaccess blockt. Apache wiederum ist viel performanter als PHP.

Es gibt kein "Kernproblem" in WP.
Diese Brutforceattacken auf den Login kann man gegen jedes System starten, welches von außen einen Login ermöglicht.

Ja, aber bei WP braucht man noch einen BF-Schutz zusätzlich. Wer den nicht hat, kann geschlachtet werden. Bei guten CMS hat man das Problem nicht, die haben einen Fehler-Zähler.

Das findest Du besser?
Irgendwelche Typen die in mein CMS einbrechen wollen schaffen es damit also, dass ich mich nicht mehr einloggen kann, weil mein Account gesperrt ist?
Und dann?
Ich hab mal recherchiert (http://www.contao-anleitungen.de/post/administrator-passwort-zuruecksetzen.html):

Du hast falsch recherchiert. Ein legitimer Admin kann mit einem Klick User wieder aktivieren. Da der Admin nicht "admin" heißt bzw. heißen muss ist es extrem unwahrscheinlich, dass jemand gezielt deinen Account sperren kann.

Dieser Vorgang, direktes Editieren in einer Datenbank, bedeutet erstmal ein Backup der Datenbank erstellen, und dann gut aufpassen und ja keinen Fehler bei diesem nicht ganz trivialen Unterfangen machen.

Jetzt willst du trollen, oder?

 

[Cordesh]

Gehn die Argumente aus?

Ich brauch also nen zweiten Adminaccount um den ersten zu aktivieren...
Und wenn beide...


Ach lassen wir das.
Wenn jetzt schon sowas kommt: "falsch recherchiert" (bei Quellenangabe!) und "trollen", dann weiß ich wie das weitergeht.

 

[Daaron]

Wieso? Du hast den Link falsch verstanden. Man muss die Datenbank nur anfassen, wenn man das eigene PW vergessen hat.

 

[glacios]

Nur mal so nebenbei: Mein Admin-Account heißt auch nicht Admin - und jetzt? Du scheinst all die "Sicherheitslücken" nur auf dieses kleine, lächerliche Ding zu beschränken, das jeder WP-User innerhalb von 10s oder bei erstellen eines neuen Blogs fixen kann.
All dieses Gerede nach dem Motto "ooh der Code ist sowas von schlecht, ich kotz schon nur vom anfassen" sind nichts als hohle Phrasen einiger Nerds, die nicht damit klarkommen, dass Normalos auch ne Website führen können/dürfen. Wo sind die Meldungen von den 1000 gehackten Wordpress-Accounts, die zu Spamschleudern überall auf der Welt geführt haben? Nur weil du vom Hörensagen jemanden kennst, der jemanden kennt...Wer zu blöd ist nen ordentliches PW + Adminnamen zu wählen, ist selber schuld.
Das erinnert mich so widerlich an die Windows - Linux-Debatte, bei dem dann die Linux-Verfechter aus ihren Löchern krabben und gebetsmühlenartig allen erklären möchten, dass nur das, was sie benutzen, die wahre Form des Betriebssystems darstellt, weil viel sicherer, schneller, aber vor allem individueller und mehr IT-Pro, denn darum gehts doch eigentlich nur: Schwanzvergleich.

 

[brainvoid]

[...]
Das erinnert mich so widerlich an die Windows - Linux-Debatte, bei dem dann die Linux-Verfechter aus ihren Löchern krabben und gebetsmühlenartig allen erklären möchten, dass nur das, was sie benutzen, die wahre Form des Betriebssystems darstellt, weil viel sicherer, schneller, aber vor allem individueller und mehr IT-Pro, denn darum gehts doch eigentlich nur: Schwanzvergleich.

Ja die Diskussionen haben grade wirklich viel gemeinsam, schön ist auch immer:
Wenn sich ein DAU dumm auf Windows/Wordpress verhält, dann ist Windows schuld.
Wenn ich meine Linux/Typo3/Contao Installation zerschieße oder mich sonst blöd verhalte, dann ist natürlich der User schuld.

Und hey, ich hatte weder in den letzten Jahren (immer aktuelles Windows) einen Virus, noch ist in den letzten 3-4 Jahren jemals ein Wordpress Blog von mir als Spambot benutzt worden. Aber Menschen wie ich sind in der Regel von Microsoft bezahlte Lügner ;-), klar.

 

[glacios]

Ganz genau so ist es. Dem kann ich mich nur 100 prozentig anschließen.

 

[Daaron]

All dieses Gerede nach dem Motto "ooh der Code ist sowas von schlecht, ich kotz schon nur vom anfassen" sind nichts als hohle Phrasen einiger Nerds, die nicht damit klarkommen, dass Normalos auch ne Website führen können/dürfen.

Die Webseite kannst du auch mit ordentlich geschriebenen Systemen führen...
Das ändert nichts daran, dass der Code eben einfach nur schlecht ist. Wenn du auch nur ein klein wenig Plan von PHP hättest und mal einen Blick in den WP-Code werfen würdest, dann würdest du das Problem sofort erkennen.

 

[Brink_01]

Heute haben die es bei mir versucht
Hab zum glück ein login limit gesetzt.
Während der schule ein Plugin installiert damit der gebannt wird

 

[Dese]

Wenn das so unsicher wäre, dann müssten ja tausende Blogger von Schadcode geradezu überflutet werden.

ich halte diese folgerung für falsch. warum sollten sie überhaupot angegriffen werden?

nur weil etwas unsicher ist muss es doch nicht auch gleich ausgenutzt werden, insbesondere dann nicht, wenn man nichts davon hat.

@BarraQda:
auch wenn ich (vermutlich) zu den leuten gehöre, über die du gerade meckerst, so kann ich dich verstehen. das problem ist, wenn du als dau nur das ergebnis siehst, dann kann man das so sehen wie du es gerade tust. dir fehlen nun einmal die hintergründe

 

[Lars1973]

Wer Wordpress benutzt ist selber schuld.

Und welches CMS ist Deiner Meinung nach "besser" ?

 

[Daaron]

Drupal, Contao, Joomla, TYPO3,... allesamt sind vom Code her um einiges sauberer, sie bestehen nicht nur aus wüst zusammengeschusterten Fragmenten.