Wordpress-Lücken: TecChannel-Interview mit dem Entdecker

Allgemeine Sicherheitstipps zum Wordpress-Einsatz

TecChannel: Ok, der Wurm entschärft die neuen Sicherheitslücken. Aber gibt es denn grundlegende Tipps, die Sie Webmastern von Wordpress-Blogs raten?

Benjamin Flesch: Ja, da habe ich schon einige Anmerkungen. Wordpress-Admins sollten auf jeden Fall:

• 3rd Party Templates immer genau untersuchen, diese enthalten sehr oft Sicherheitslücken, im besonderen XSS (Cross-Site Scripting),

• zumindest die wp-login.php beziehungsweise das ganze /wp-admin/-Verzeichnis durch eine .htaccess mit Passwortabfrage sperren,

• die Userregistrierung abschalten (meist sowieso überflüssig),

• keine "NoName"-Plug-ins benutzen.

Das Problem bei Letzteren ist, dass sie meist nicht sauber erstellt sind und dementsprechend viele Sicherheitsmakel aufweisen. Lieber sollte man auf größere "Mainstream"-Plug-ins setzen. Falls es gar nicht anders geht, sollte man den Code auf alle Fälle durchgehen oder von einem Spezialisten prüfen lassen.

TecChannel: Herr Flesch, ich danke Ihnen für das Gespräch.

Benjamin Flesch ist 17 Jahre alt und besucht derzeit die Oberstufe des Paul-von-Denis-Gymnasiums in Schifferstadt. Er beschäftigt sich mit den Themen Cross-Site Scripting und Web Application Security und hat bereits mehrere Schwachstellen in Bankapplikationen sowie auf Google.com entdeckt. Seit Juni arbeitet er zudem nebenbei für die WaveCon GmbH als Security Consultant und führt in deren Auftrag Sicherheitsprüfungen durch. Seinen Blog finden Sie hier. (mja)