Vorsicht bei der Sicherheit von Standard-Software für Websites, auch bei Wordpress!
Gestern hat sich ein Kunde bei uns beschwert, er würde mit "Spam bombardiert". Eine Analyse einer solchen Mail zeigte, dass sie von der Website dieses Kunden selbst gesendet worden war. Tatsächlich versendete die Website massenhaft E-Mails, die angeblich von russischen Single stammten.
Wir konnten feststellen, dass die Mails von einem Script kamen, das Teil eines WordPress-Themes der Website des Kunden war. Wahrscheinlich war dieses Spam-Versand-Script bereits Teil des WordPress-Themes, als der Kunde es installiert hat. Wer kontrolliert schon die tausenden von Dateien, aus denen ein Theme besteht, vor der Installation? Es kann aber auch sein, dass der Programmcode zum Mailversand erst später eingeschmuggelt wurde.
Bei Content Management Systemen, bei denen man Themes und Extensions innerhalb des Systems nachinstallieren kann, ist das ein generelles Problem: Wenn es eine Sicherheitslücke gibt, können Angreifer über die Nachinstallations-Funktion natürlich auch Schadcode nachinstallieren.
Der Programmierer des Kunden arbeitet nun an der Beseitigung des Problems.
(Wir haben auf unserem Server auch einen Schutzmechanismus gegen massenhaften Spamversand durch gehackte Websites. Der hat hier nicht gegriffen, da die Menge der E-Mails noch unter der "Alarmgrenze" lag.)
Standard-Software-Produkte, die in millionenfach auf Internet-Servern installiert sind, sind ein lohnendes Ziel für Angreifer. Hat ein Angreifer einen Fehler in einem solchen Produkt gefunden, kann er damit gleich tausende, vielleicht Millionen Websites angreifen. Das geschieht dann auch meist vollautomatisiert.
Deshalb: Wenn Sie solche Software einsetzen: