Sicherheit-Scanner für WordPress

Wer einen eigenen Blog betreibt, sollte regelmäßig darauf achten, dass die Blogsoftware aktuell ist, sei es ein CMS wie Joomla oder Drupal oder eine Blogsoftware wie WordPress.

Im Falle von Sicherheitslücken und Defacements wird der Inhalt verändert, so dass finanzieller Verlust (Website ist nicht errreichbar) oder rechtliche Konsequenzen (Einfügen von strafrechtlichen Inhalten) die Folge sein können. Weiterhin wäre Vertrauens- und Datenverlust möglich. Und natürlich den zeitlichen Aufwand eines Rollback, sofern Backups vorhanden sind.

WordPress selbst bietet einen Update-Service an, im Dashboard werden fällige Updates angezeigt und können per Klick installiert werden. Um sich zu überzeugen, dass der Blog auch wirklich sicher ist, kann man verschiedene Tools nutzen:

wpscan

In der Sicherheitsdistribution Backtrack ist wpscan bereits installiert, für alle anderen findet sich hier eine Anleitung für wpscan unter Ubuntu.

Die Nutzung ist sehr einfach. Es folgt eine exemplarische Ausgabe.

whatweb

Das Tool names whatweb analysiert sehr flott eine URL. Es ist ebenfalls bereits in Backtrack enthalten. Es sammelt Infos über die PHP-Version, den Webserver, versucht die CMS/Blog-Anwendung inkl. Version zu erraten. Erstaunlich, wie gesprächlich die Anwendungen sind… bspw. ein Test-Joomla von mir:

Fazit

Nun hat man die Möglichkeit, die Schwachstellen zu prüfen, ggf. die Plugins temporär abzuschalten oder Updates durchzuführen.

Achtung:
Die Durchführung eines Scans gegen eine Webseite, deren Besitzer man nicht selbst ist oder deren Erlaubnis man nicht besitzt, fällt in den Geltungsbereich des §202c StGB.

Disclaimer:
Ich gebe diese Informationen nur zu Zwecken der Forschung, des Selbstschutzes, der Weiterbildung und aus Interesse an IT-Security weiter. Ich bin nicht verantwortlich, sollten Nutzer diese Informationen unrechtmäßig oder unethisch einsetzen.

Schreibe einen Kommentar