CMS

Wordpress-Sicherheitslücken schließen - so geht's

Per Script: Automatischer Check

Eine noch schärfere Klinge: Wpscan findet erstaunlich zuverlässig auch auf vielen zunächst sicher geglaubten Wordpress-Installationen potenzielle Probleme.
Eine noch schärfere Klinge: Wpscan findet erstaunlich zuverlässig auch auf vielen zunächst sicher geglaubten Wordpress-Installationen potenzielle Probleme.

Vom Betreiber der Datenbank gibt es seit längerem auch das Script Wpscan, das einen Wordpress-Server systematisch von Clients aus auf Sicherheitslücken abklopft. Das Script ist in Ruby geschrieben und benötigt einige zusätzliche Ruby-Module, die es aber auf den meisten Linux-Distributionen in deren Paketquellen gibt. Die Einrichtung ist zwar anspruchsvoller als eine manuelle Suche in der Vulnerability Database, erlaubt aber einen automatischen Check nach übersehenen Sicherheitslücken. Um Wpscan (http://wpscan.org) in Ubuntu 14.04/14.10/15.04 auszuführen, installieren Sie in einem Terminal-Fenster erst mit

sudo apt-get install git zlib1g-dev libcurl4-gnutls-dev libxml2 libxml2-dev libxslt1-dev rubydev build-essential

die benötigten Pakete und laden dann das Ruby-Script direkt von Github über den Befehl

git clone https://github.com/wpscanteam/wpscan.git

herunter. Gehen Sie dann mit

cd wpscan

in das neu angelegte Verzeichnis „wpscan“, wo Sie mit

sudo gem install bundler && bundle install --without test

die weiteren Ruby-Module nachinstallieren. Anschließend ist Wpscan einsatzbereit.

Andere Linux-Systeme: Aufgrund abweichender Paketnamen weicht der Einrichtungsweg auf verschiedenen Distributionen ab. Die Dokumentation unter https://github.com/wpscanteam/wpscan/blob/master/README.md liefert aber auch Installationsanleitungen für Debian, Fedora und Arch.

Ist eine Installation nicht möglich, dann hilft das Live-System Kali Linux 1.1.0 weiter (Download unter https://www.kali.org, 3 GB), wo Wpscan bereits vorinstalliert ist.

Bevor Wpscan einen aussagekräftigen Scan durchführen kann, müssen Sie dessen Datenbank mit

./wpscan.rb --update

aktualisieren und dies auch später gelegentlich wiederholen. Einen umfassenden Scan von Wordpress, Plug-ins und Themes auf der Adresse „[Domain]“ startet dann dieser Befehl:

./wpscan.rb --url http://[Domain]/ --random-agent --enumerate

Nur die Plug-ins überprüft dieses Kommando:

./wpscan.rb --url http://[Domain]/ --random-agent --enumerate p

Der Scan kann einige Minuten dauern. Die Ergebnisse werden hübsch aufbereitet mit Links zu Problembeschreibungen im Terminal-Fenster angezeigt.

(PC-Welt/ad)