Vor einigen Tagen machte die Nachricht von einem WordPress-Wurm die Runde. Der Wurm pflanzt einen Code-Abschnitt in die header.php des Templates und sorgt damit für unerwünschte Spamlinks in der Blogroll.

Jetzt gibt es ein WordPress Anti-Virus-Plugin, das die Template Dateien auf eventuelle Manipulationen hin überprüft und gegebenenfalls eine Warnung abgibt.

Das AntiVirus-Plugin durchsucht aktive Templates nach Blöcken, die auf einen vorhandenen Virus hindeuten können. In der Regel sind es Befehle für die Kodierung, Auswertung und Ausführung von Zeichenketten als PHP-Code. Auch Werte aus Optionsfeldern werden herangezogen und analysiert.

Da WordPress aufgrund seiner einfachen Installation und den massenhaft vorhandenen Themes/Templates gerne von Leuten eingesetzt wird, die nicht sooo viel Ahnung von dem haben, was da so unten im Keller tuckert, bietet sich so ein Plugin natürlich an. Wer froh ist, dass nach einigem Klicken und dem Eintragen von ein paar Daten in die wp-config.php das Blog läuft und sich dann keine Gedanken mehr über das Wie und Warum macht, der wird wohl kaum in den Template-Dateien herumstöbern - und selbst wenn, wird er wohl kaum erkennen, was da rein gehört und was nicht. Wer dagegen ein selbstgebautes Theme/Template benutzt, die Dateien in- und auswendig kennt und sowieso ständig an den Dateien rumschraubt, kann meiner Meinung nach auf ein solches Plugin verzichten.

Wichtiger als herauszufinden, dass etwas geändert wurde, ist, zu verhindern, dass etwas überhaupt "von aussen" verändert wird.

Wer leichtfertig (oder weil er durch falsche Tips oder durch Einstellungen des Providers dazu genötigt wurde) Verzeichnissen auf dem Server Schreibrechte für alles und jeden erteilt - chmod 777 - (wird gerne mal für das komplette wp-content-Verzeichnis gemacht, oder für das Verzeichnis, in dem hochgeladenen Bilder eines Galerie-Plugins landen), dazu noch ein leicht zu knackendes FTP-Passwort benutzt, der kann mittlerweile fast sicher sein, früher oder später Opfer eines solchen "Wurms" zu werden. Dabei spielt die Popularität, die Größe oder die Bekanntheit des Blogs keine Rolle - die Scripte laufen völlig automatisiert und attackieren, sobald sie eine verwundbare Installation gefunden haben.

blogrockingbeats.de ist seit längerem von einem ähnlichen Wurm befallen - ich hatte den Betreiber schon vor Wochen, ach was, Monaten, per Mail darauf hingewiesen, dass die Artikel (zb hier Sigur Rós - bitte Quellcode anschauen, oder mit deaktiviertem Stylesheet) als Spambacklink-Schleudern missbraucht werden -  am Zustand hat sich bis heute nichts geändert. Seufz. (Update 10.3.09: Da man mit dem BRB Account auch Adminrechte hat, habe ich gerade die Spamlinks aus dem Sigur Rós Artikel gelöscht.)

Eine gute Anlaufstelle für Techniken und Strategien zur Absicherung einer Installation ist blogsecurity.org, wo regelmässig über Schwachstellen und Abhilfen berichtet wird.

BlogSecurity are security evangelists with a specific target on web 2.0 related security. BlogSec currently focuses more specifically on WordPress Security and has become well-known within the global WordPress community.

Mit dem Wordpess-Scanner wird auch ein einfach zu bedienendes Tool angeboten, das die eigene Installation auf mögliche Lücken hin untersucht.