XXS-Schwachstellen in Wordpress
Die Sache mit der XXS-Schwachstelle in Wordpress greift ganz schön um sich und selbst viele sogenannte Security Plugins weisen inzwischen Mängel auf und stellen ein zusätzliches Sicherheitsrisiko dar, statt effizient zu schützen oder vorzubeugen. Ein schönes Beispiel dafür, dass Plugins in Wordpress eben immer ein Risiko sind, egal welchem Zweck sie letztendlich dienen. Aktuell hat es die Sucuri Wordpress Firewall getroffen, die anfällig für Cross-Site-Scripting ist bzw. war und demnach umgangen werden konnte. Nicht unbedingt das, was sich die Anwender dir Firewall versprechen, denn genau solche Attacken soll diese ja blocken und von Anfang an verhindern. Doch keine Firewall bietet einen hundertprozentigen Schutz, wie auch Experten immer wieder klarstellen und zu bedenken geben.
Sucuri Firewall einfach ausgetrickst
Entdeckt hatte die Lücke Rafay Baloch, ein führender Pakistanischer Sicherheitsexperte. Der testete und probierte, fand eine Schwachstelle und berichtete in seinem Blog ausführlich darüber. Er selbst war interessiert, weil Web Application Firewalls entweder nicht sauber arbeiten, oder Unmengen an falschen Ergebnissen generieren, also normale Nutzer aussperren. Also nahm er sich die Sucuri Security Website Firewall (CloudProxy) vor und teste einige Dinge, mit dem Ergebnis, dass die Firewall mit einem einfachen “<a href” umgangen umgangen werden kann. Durchaus interessant der Artikel, wenn auch sehr technisch und ziemlich lang.
Es gibt keinen ultimativen Schutz
Allgemein zeigt die Methode mal wieder, wie einfach es oft ist Firewalls und Security Plugins zu umgehen. Allgemein bieten diese zwar durchaus einen zusätzlichen Schutz, die ultimative Panzertür für Wordpress gibt es aber nicht. Egal wie viel Sicherheit ihr euch vorgaukelt, wenn jemand wirklich Interesse daran hat euren Blog zu hacken, wird es ihm vermutlich auch gelingen. Vielleicht weil irgendein Plugin die Schwachstelle einschleust, vielleicht weil euer Theme veraltete Funktionen und Aufrufe verwendet, vielleicht weil grundlegende Sicherheitsvorkehrungen nicht vorgenommen wurden.
Wichtiger als jedes Security Plugin sind andauernde Backups, um bei einem Hack schnell den korrekten Zustand wiederherstellen zu können, um dann die entsprechenden Schwachstellen zu korrigieren. Was nicht heißt, dass eine Firewall grundsätzlich eine schlechte Idee ist. Ich persönlich bin ein kleiner Fan von NinjaFirewall, aber auch Sucuri und Co verrichten durchaus ihren Dienst, wenn auch nicht immer ganz perfekt, wie das Beispiel oben deutlich macht.
Sicherheit hat viele Gesichter
Schlussendlich gibt es, wie oben bereits erwähnt, keinen hundertprozentigen Schutz für Wordpress. Wer wirklich mehr Sicherheit möchte, kann diese mit einigen Plugins zwar erreichen, unter Umständen bringen die aber auch wieder neue Lücken und Probleme mit, oder sperren normale Nutzer aus, weil sie diese versehentlich blockieren. Sicherheit fängt bei der Programmierung an, beim ordnungsgemäßen Betrieb, beim Monitoring der eigenen Websites, bei starken Firewalls und Blockaden, ist am Ende viel Handarbeit und nichts was sich ein kleiner Blogger wirklich leisten könnte.
Nicht umsonst gibt es schließlich Experten in diesem Bereich und diese können, so toll und schön es auch klingen mag, nicht einfach durch ein automatisches und oft sogar kostenloses Plugin ersetzt werden. Sicherheit im Web ist bleibt ein sehr dehnbarer Begriff und zu sicher sollte sich niemand fühlen. Die Standards für Sicherheit in Wordpress sollten aber eingehalten werden und auch Security Plugins sind, trotz ab und an auftauchender Schwachstellen, per se keine schlechte Idee.
