Unser Gericht des Tages heißt: „WordPress unter Beschuss“. Dazu empfehlen wir die empörungsfreundliche Spätlese namens „Ist doch nur ein Blog“. Macht ihr mit? Was ich da schon wieder alles so lese, ist wieder köstlich. Hintergrund der ganzen Geschichte ist, dass es mal wieder eine größere Angriffswelle gegen WordPress-Installationen gibt. Die schulterzuckende, verknöcherte Meinung dazu ist halt: „Na und? Ist doch nur ein Blog. Dann schalte ihn doch ab“. Und ich glaube, hier reden wir mal ein paar Takte.
Wieso ist denn WordPress unter Beschuss?
Wie? Ihr habt gedacht, ich empfehle euch, eure Blogs abzuschaffen? Nix da. Ihr lasst die Dinger mal schön alle online. Wo kämen wir hin, wenn jeder sagte, wo kämen wir hin, und keiner ginge mal nachsehen, wo man hinkäme, wenn man hinginge? Das ist ein Zitat von Kurt Marti, und hier stehen ein paar Dinge dazu. Was ich damit meine: Das wäre ja noch schöner, wenn wir uns von anderen, die mit dem Bloggen bis heute nichts anfangen können, das Abschalten diktieren ließen.
Jedenfalls ist es so, dass ein neu entdeckter Trojaner 30 Löcher in WordPress gefunden hat, vor allem in Plugins und Themes. Dem Trojaner reicht wohl eine Schwachstelle, um dann euer WordPress unter Beschuss zu nehmen. Das Ganze kommt in zwei Varianten und hört auf die Namen Linux.BackDoor.WordPressExploit.1 und Linux.BackDoor.WordPressExploit.2. Da darüber gefährlicher JavaScript-Code eingeschleppt werden kann, muss schnell gehandelt werden.
Etliche Plugins sind betroffen. Die sind hier auf der Seite für den einen Exploit und dann auf dieser Seite für den zweiten Exploit aufgelistet. Wenn ihr Plugins habt, die dort auftauchen, installiert schnellstmöglich Updates. Oder besser noch: Fragt euch, ob ihr die Plugins braucht. Und wenn nicht, haut sie runter. Meine Devise ist: Immer nur so viel wie nötig und so wenige wie möglich. Denn jedes beliebige Plugin bei euch im Blog kann ein potentielles Problem werden.
Für mich bedeutet das, dass ich eine Alternative zur WP-Matomo Integration suchen muss. Dabei stellt man eben auch fest: Alter, die haben ihr eigenes Plugin verschlampt. Denn das Plugin ist einfach mal seit einem Jahr nicht mehr aktualisiert worden. Vielleicht ist das ja auch nicht notwendig, wenn ich mir dieses Plugin so anschaue. Aber das baut dir eine neue Matomo-Installation. Was soll ich denn damit? Naja, ich probiere mich da mal aus.
Wie kann ich mich denn optimal schützen?
Wenn das eigene WordPress unter Beschuss ist, ist es meistens zu spät. Aber es gibt genügend Dinge, auf die man setzen kann, um die eigene Installation zu schützen. Davon habe ich auch häufig erzählt. Wenn ich mir die Liste auf den beiden Exploit-Seiten anschaue (Ja, sie scheinen gleich zu sein), dann ist da einiges darunter, wo man dann doch mal den Einsatz überdenken sollte. Auch ich bin da etwas erschrocken und denke über die Abschaffung von Matomo nach.
Klar ist in jedem Fall, dass ich mich am besten schütze, indem ich alle Plugins und Themes und WordPress an sich auf dem aktuellen Stand habe. Wenn also bei euch unter https://www.eure.domain/wp-admin/update-core.php irgendeine Aktualisierung angezeigt wird, haut sie drauf. Und macht um Himmels Willen Backups. Und guckt Plugins und Themes durch: Braucht ihr das Alles? Und hackt euch eine Multi-Faktor-Authentifizierung drauf. Oder macht das Ding mit der HTPASSWD.
Bedenkt, dass die oben beschriebenen Probleme seit mindestens einem Jahr vorliegen könnten. Angreifer könnten bei euch Daten abgesaugt haben und zum Verkauf angeboten haben. Das Zeug wird über Linux-Maschinen versprüht und kann potentiell jeden Blog treffen. Und wenn wir das unter dem Gesichtspunkt sehen, können wir eigentlich nur sagen: Derzeit ist tatsächlich WordPress unter Beschuss.
Am Ende ist es ein Scheißspiel. Aber ihr solltet das dieses Mal wirklich nicht auf die leichte Schulter nehmen. Woher wollt ihr denn wissen, dass ihr nicht betroffen sein werdet? Es ist schlichtweg nicht vorhersehbar. Ebenso wenig, wie niemand sagen kann, ob die genannten Plugins „schon“ alle waren. Darum ja: So wenig wie möglich und so viel wie nötig. Deshalb habe ich nebenbei die WP-Matomo Integration mit dem Simplen Matomo Tracking-Code ersetzt. Mal gucken, was nun passiert.
Also, ich mache immer Updates und achte auf Sicherheit. Mehr kann man eigentlich nicht tun.
Lorenzo
Hi Lorenzo, ja, das stimmt schon. Dazu muss man sich auch trennen können. Also von Plugin, die man vielleicht nicht braucht.