Tag-Archive for » Hoster «

Veraltete WordPress-Plugins locken Hacker an

WordpressHacksDie Sicherheitsfirma Sucuri hat im ersten Quartal dieses Jahres mehr als 11.000 kompromittierte Internetseiten untersucht. Aus ihrem Bericht geht hervor, dass häufig  erweiterbare Komponenten von CMS den Angreifern als Einfallstor dienen.

Mehr als 1 Milliarde Internetseiten auf CMS-Basis

Zurzeit sind über eine Milliarde Internetseiten aufrufbar, und hinter mehr als einem Drittel von ihnen stehen die Content-Management-Systeme (CMS) WordPress, Joomla, Drupal und Magento.

Von diesen CMS hat WordPress einen Marktanteil von über 60 Prozent, was auch auf seine durch Themes und Plugins vielfach erweiterbare Plattform zurückzuführen ist.

Bei WordPress fanden die Sucuri-Sicherheitsforscher auf jeder vierten der gehackten Seiten veraltete und anfällige Versionen der Plugins RevSlider, GravityForms und TimThumb.

Die untersuchten Hackerangriffe hatten jedoch kaum etwas mit der Kernanwendung des CMS zu tun, sondern mehr mit unsachgemäßer Installation, Konfiguration und Wartung durch Administratoren oder Hoster.

Die Infektionsursachen

Die häufigste Ursache von Infektionen waren Schwachstellen in den Erweiterungs-Komponenten i.e. Plugins, Erweiterungen, Module, Templates, Themes und ähnlichen Komponenten

Obwohl schon lange automatische Updates möglich sind, waren 56 Prozent aller infizierten WordPress-Sites nicht auf dem aktuellen Stand. Das ist im Vergleich zu den anderen Plattformen noch ein guter Wert, denn Joomla war zu 84 Prozent veraltet, Drupal zu 81 Prozent und Magento sogar zu 96 Prozent!

Ursachen für die mangelhaften Updatestände sind stark angepasste Installationen, Probleme mit der Rückwärtskompatibilität und last not least fehlende Mitarbeiter mit der notwendigen Kompetenz…

Auf 66 Prozent aller kompromittierten Installationen fand Sucuri eine PHP-basierte Backdoor. Durch diese Hintertüren konnten sich Angreifer über einen längeren Zeitraum nach der Infektion den Zugang sichern.

Diese Backdoors können auch die hohe Quote erneuter Infektionen, die nach Googles Webmaster-Tool bei satten 30 Prozent liegt, verständlich machen.

PHP-Code mit php.js als Javascript im Browser ausführen

Von Niklas von Hertzen stammt php.js, eine Virtuelle Maschine (VM), die PHP-Code im Browser ausführen kann. Die Bibliothek liest den PHP-Code ein und wandelt ihn in Javascript-Code um, der dann von der PHP VM ausgeführt wird.

Standardmäßig wird der Code synchron ausgeführt. Dadurch sind die Ausgaben direkt nach der Ausführung sichtbar. Man kann die VM aber auch via Callback-Funktion von einem Webworker ausführen lassen.

Für komplexe Anwendungen auf Produktivsystemen ist die PHP-VM schon aus Sicherheitsgründen kaum geeignet, Trotzdem ist sie ganz brauchbar, wenn man nur ein wenig PHP für einen bestimmten Zweck braucht und zum Beispiel der Hoster kein PHP zur Verfügung stellt.

Hier ein einfaches Anwendungsbeispiel:

var engine = new PHP ('<?php echo "Eine Bildschirmausgabe"; ?>');
console.log( engine.vm.OUTPUT_BUFFER); 

Das CMS-Prinzip für schnelle Resultate

Für jemanden, der mit wenig Aufwand und wenig technischen Kenntnissen selbst eine Webseite erstellen möchte, gibt es im Grunde nur eine Option, allerdings mit vielen Erscheinungsformen: Das Content Management System oder kurz CMS. Dabei geht es nur noch darum, die gewünschten Inhalte in die entsprechenden Seiten zu bekommen.

Alles, was im entferntesten mit Design (Farbe, Grafik Layout) zu tun hat, ist bei einem CMS schon vorhanden. Man kann so ein Design (je nach CMS auch Theme oder Skin genannt) auf die Seiten bringen wie eine Tapete auf die Wände eines Zimmers. Eigentlich noch einfacher: Design aussuchen, übernehmen und fertig!

Und Sie können es auch jederzeit ändern. So ein „Tapetenwechsel“ ist in zwei Minuten durchgeführt. Deshalb brauchen Sie sich nur noch um die Inhalte Ihrer Internetseiten zu kümmern. Was soll auf der Startseite stehen, welches Bild soll den Text illustrieren – das sind die Fragen, die die Sie auch beantworten können, wenn Ihnen Begriffe wie HTML, CSS oder Javascript nichts sagen.

Sie können sich auf die Formulierung der Texte für Ihre Internetseiten konzentrieren, das Erscheinungsbild regelt das CMS für Sie. Da viele Hoster auch Pakete mit vorkonfigurierten CMS-Varianten anbieten haben Sie eigentlich mit Technik und Installation so gut wie nichts zu tun hat. Deshalb sind Content Management Systeme für einen einfachen aber durchaus beeindruckenden Start Ihrer Internetpräsenz eine gute Wahl.

Allerdings gibt es viele CMS mit unterschiedlichen Schwerpunkten. Manche wie zum Beispiel Website Baker sind sehr einfach aufgebaut, um einen schnellen Einstieg zu ermöglichen, andere wiederum sind Boliden mit einem erschlagenden Funktionsumfang wie Joomla.
Es gibt auch für Schwerpunkte optimierte CMS. WordPress ist zum Beispiel optimal für Blogs geeignet – man kann aber auch nahezu alles andere damit machen. Drupal dagegen spielt seine Stärke voll bei Communities aus und bietet dafür viele Sonderfunktionen.

Deshalb werden wir hier in weiterführenden Artikeln die Stärken der einzelnen CMS näher beschreiben.