Sicher werden viele von Euch das WordPress-Plugin „Secure WordPress“ von Frank Bültge kennen. Als ich heute das Update dieses Plugins eingespielt habe, sah ich wie immer auch in die Einstellungen des Plugins hinein, um diese auf Richtigkeit zu prüfen und gegebenenfalls auch anzupassen.  Hier wurde gleich meine Neugierde geweckt durch die neu eingefügte Spalte eines Dienstes namens „SiteSecurityMonitor“, da einem dort gleich das fette Logo dieses Dienstes ins Auge sticht, also liest man erst einmal interessiert weiter.

SiteSecurityMonitor.com bietet Nutzern einen kostenlosen Malware-Scanner an, um den benutzten Webserver auf mögliche Sicherheitslücken zu testen. Da das Thema Sicherheit auch bei WordPress nicht ganz unwichtig sein kann, hat der umfangreiche Angriff auf mehrere WordPress-Blogs gezeigt.

Außerdem kann es leicht geschehen, dass man sich selbst eine Sicherheitslücke schafft, indem man z.B. ein Plugin verwendet, welches ungewollt Hintertüren für Angreifer öffnet oder als eigener Betreiber eines Webservers fehlerhafte Konfigurationen oder veraltete Komponenten  nutzt, ohne dies zu wissen.

SiteSecurityMonitor.com bietet mittlerweile ein eigenes Plugin an, welches auf der offiziellen Pluginseite von WordPress heruntergeladen werden kann. Hiermit kann man dann im Adminbereich komfortabel diverse Sicherheitseinstellungen tätigen. Ein kurzes Lesen der Features zeigte, dass dieses Plugin die gleichen Möglichkeiten bietet, wie Franks Plugin „Secure WordPress“. Da ich aber bereits Franks Plugin nutze und daran auch nichts auszusetzen ist, habe ich mich lediglich für den Malware-Test entschieden, den man in den  Einstellungen von „Secure WordPress“ über die zusätzliche Option durchführen kann.

Hier hat man diverse Möglichkeiten:

Mit dem Ausfüllen des Formulars im Adminbereich von „Secure WordPress“ kann man einen kostenlosen Scan des Systems beauftragen. Da ich etwas dagegen habe, einfach so meine Telefonnummer herauszugeben, habe ich beim entsprechenden Feld einfach lauter „x“ eingegeben und es wurde auch akzeptiert.

Nachdem man das Formular abgeschickt hat, muss man sich etwas gedulden, da der Scan etwas Zeit in Anspruch nimmt. Bei mir hat der Test etwa 3 Stunden gedauert. Man bekommt zwischendurch eine Mail mit den Logindaten zugeschickt, wo man dann nach Abschluss des Scans den ausführlichen Report einsehen kann. Ebenso bekommt man zum Abschluss des Scans eine Benachrichtigung zugeschickt. Außerdem hat man im Mitgliederbereich weitere Möglichkeiten, die man nutzen kann. Diese sind aber meist mit einem kostenpflichtigen Abonnement verbunden. Im Mitgliederbereich unter dem Punkt „My Site Reports“ kann man aber nach dem Abschluss des Scans zwei Reportdateien einsehen.

Zwischenzeitlich habe ich schon ein bisschen Angst bekommen, als ich so in die Zugriffstatistik gesehen habe. Dort sind einige Hackerversuche aufgezeichnet worden und ich habe schon fast befürchtet, dass dies keine gute Idee war, diesen Test anzuschubsen. Doch haben mir diese Einträge nur gezeigt, welche Muster von dem Dienst überprüft wurden, die auch ganz oft für automatisierte Hackerangriffe genutzt werden. So waren z.B. folgende Aufrufe dabei:

/index.php?s=Suchbegriff eingeben&searchsubmit=../../../../../../../../etc/passwd

/index.php?s=Suchbegriff eingeben&search(…)\\./.\\./.\\./.\\./.\\./.\\./etc/passwd

In der „passwd“ werden auf einem UNIX-System z.B. alle Passwörter der User auf diesem System gespeichert, auch die des Admins „root“. Und sicherlich sind diese sehr interessant für die Angreifer, da man sich so leicht Zugriff auf den jeweiligen Server verschaffen könnte, ohne dass der Betreiber dies bemerkt.

SiteSecurityMonitor.com bietet nur einen einmaligen kostenlosen Scan des Systems an, will man sich dauerhaft über die Sicherheit seiner Webseitenumgebung informieren lassen, so gibt es diverse Preismodelle auf der Webseite.

Für private Webseiten wird die kostenpflichtige Variante sicherlich weniger in Frage kommen, da dort schon in meinen Augen ziemlich hohe Kosten auf einen zukommen. Dennoch sollte man zumindest den kostenlosen Scan nutzen, da dieser schon einmal einen guten Überblick über die Gesamtsituation auf dem Webserver zusammenträgt und einem übersichtlich aufgliedert. So kann man gut auf mögliche Sicherheitslücken reagieren und diese beseitigen. Der am Ende erstellte Report zeigt genau an, was getestet wurde und bietet mögliche Fehlerbehebungen an, sollten hier Sicherheitslücken gefunden werden.

Fazit

SiteSecurityMonitor.com ist gerade für unerfahrene Webserverbetreiber gut geeignet, um sich umfangreiche Informationen auf den Schirm zu holen. Dabei scannt er nicht nur die WordPress-Installation, sondern den gesamten Server. Somit sieht man gleich die serverweiten Missstände, sofern welche gefunden werden.

Erfahrene Serverbetreiber werden hier aber wohl eher auf eine eigene Sicherheitsprüfung setzen und auf die übliche Auswertung der täglichen Logfiles zurückgreifen, zumal diese täglich kostenlos zur Verfügung stehen. Einen kostenlosen Scan kann aber dennoch jeder durchführen, da dieser womöglich Schwachstellen aufzeigt, die man selbst noch nicht berücksichtigt hatte. Man sollte aber beachten, dass nur der erste Scan nach Registrierung wirklich kostenfrei ist. Weitere Überprüfungen müssen bezahlt werden.