WordPress nicht aktualisiert, gehackt, bei Google rausgeflogen

Kommentare

  1. Avatar von stefano picco
    stefano picco

    so ist dat halt, aber schon ärger­lich das man nun wie ein bescheu­er­ter stän­dig patchen muß nicht nur off­line son­dern auch online -.-

  2. Avatar von Clemens
    Clemens

    Ein sol­cher Hack ist schnel­ler pas­siert, als man denkt.
    In mei­nem Fall war es eine Gale­rie­er­wei­te­rung für Joom­la!, die einen unge­si­cher­ten Datei­upload hat­te – schwupps hat man eini­ge sog. PHP-Shells auf dem Ser­ver und ein Defa­ce­ment auf der Seite.
    Das Pro­blem sind imho nicht die Haupt­soft­ware­ver­sio­nen (weil die oft eine Updatebenach­rich­ti­gung mit­brin­gen) son­dern schlecht pro­gram­mier­te oder kaum gepfleg­te 3rd-Par­ty-Erwei­te­run­gen. Ein auto­ma­ti­sches Update (wie z.B. für die Erwei­te­run­gen von Fire­fox) ist hier Gold wert.

  3. Avatar von Steffen

    Auto­ma­ti­sche Updates sind Teil des Pro­blems. Die benö­ti­gen näm­lich Schreib­rech­te für die Skrip­te auf dem Ser­ver. Dadurch wird es für Angrei­fer ein­fa­cher die eige­nen Tools auf den Ser­ver zu schmuggeln.
    Post­nu­ke hat ja von PHPNu­ke den schlech­ten Ruf in Sicher­heits­sa­chen geerbt, hat sich aber eigent­lich genau des­we­gen von PHPNu­ke abge­spal­ten, weil die Ent­wick­ler das Sys­tem siche­rer machen woll­ten. Mitt­ler­wei­le sind eini­ge ziem­lich gute Sicher­heits­an­sät­ze imple­men­tiert. Bei Joom­la liegt das Pro­blem tat­säch­lich schon im Kern­sys­tem, dass jeg­li­che Art von Zugrif­fen unge­fil­tert zulässt.
    Bei Post­nu­ke hat man sich dage­gen ent­schie­den, auto­ma­ti­sche Updates in der Form wie bei ande­ren Sys­te­men umzu­set­zen. Statt­des­sen wer­den so wenig wie mög­lich Ver­zeich­nis­se zum Schrei­ben geöff­net. Im Live-Betrieb benö­tigt man kein ein­zi­ges, das nach außen erreich­bar ist. Des­we­gen gibt es bei Post­nu­ke auch kaum Mel­dun­gen über gehack­te Sei­ten. Und ich habe es in 5 Jah­ren noch nie erlebt, dass eine aktu­el­le Instal­la­ti­on gehackt wurde.
    Außer­dem traue ich Auto­up­dates bei Web­sites nicht. Da steckt meis­tens ne Men­ge Anpas­sungs­ar­beit drin. Und wenn man vor­her nicht zumin­dest ein kom­plet­tes Back­up macht, kann man ggf. alles noch ein­mal machen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert