Hallo!
Gute Idee – werde ich gleich auch drüber bloggen. Zwei Anregungen für folgende Versionen:

1.) Bei der eMail-Benachrichtigung wäre es gut, wenn man noch eine andere eMail-Adresse angeben kann. Ich denke mal, dass jetzt die standardmäßige Adresse von “Einstellungen-Allgemein” genutzt wird, wobei ich diese Adresse nicht sooo häufig checke.
Ich könnte mir auch vorstellen, dass man da eine spezielle Adresse verwendet die z.B. auf ein Mail-SMS-Gateway führt, so dass man auf alle Fälle schnell informiert wird.
Auch wäre ein Button “Testmail senden” gut, damit man weiß, wie eine solche eMail aussieht (ja, ich könnte natürlich mir den Quellcode anschauen – aber das ist ja gerade eine “Wunschliste” von “nice to have”-Funktionen).

2.) Anzeige im Dashboard (am besten unter “Aktuell – Auf einen Blick”) nach dem Motto “Templates zuletzt am xx.xx.xxxx überprüft – keine Beanstandung” in weißer Schrift auf grünem Grund und falls es doch Probleme gibt, könnte man ausnahmsweise auch mal den blink-Tag (oder ist der inzwischen auch offiziell verpönt?) und rote Farbe verwenden.

und schon installiert, danke.

Bist ja richtig schnell :D
Das Blog ich heut nachmittag sofort mal…^.^

Super Idee – habe ich gleich installiert. Danke für das Plugin!

Toll gemacht!

Hey Sergej,

ich habs gewusst das dich das Thema AntiVirus für WordPress Wurmen wird ;)

Vielen Dank so etwas habe ich schon lange gesucht.

Hallo Sergej,

vielen Dank dafür – werd ich gleich mal installieren. ;)

Hallo,

erst einmal: Super Idee, sowas kann man immer gebrauchen.

Habe das PlugIN auch sofort installiert und bekomme sogar eine “rote Datei” angezeigt. Soweit selbsterklärend, aber wie finde ich nun heraus, wo sich in dieser Datei der mögliche “Schadcode” befindet???

Vielen lieben Dank!

@Whykiki: Wenn Du Schwierigkeiten hast, den Schadcode zu lokalisieren, dann wird es Dir vermutlich auch nicht leichtfallen, ihn mit der gebotenen chirurgischen Präzision zu entfernen. Einfacher und schneller sollte das erneute Hochladen der betreffenden Originaldatei aus Deiner lokalen Sicherung zum Ziel führen…

@Whykiki
Wenn das Plugin die Zeile mit dem Infekt komplett sichtbar einblendet, dann müsste die Stelle mit dem verdächtigen Code gelb markiert sein.

@solar22
Schlaflose Nächte haben so ihre Vorteile ;)

@Jens
Beide Vorschläge angenommen und auf die ToDo-Liste gesetzt. Merci fürs Mitdenken.

@all
Gerne, bin gespannt auf die Entwicklung und weitere Feedbacks. Ich werden den Artikel heute im Laufe des Tages um paar Kleinigkeiten bzw. Details erweitern, die ich noch vergaß zu erwähnen.

… ein Autodidakt sagt:

“Danke !”

Hallo!

Erst einmal besten Dank für das Plugin, halte ich für eine gute Idee.

Nach dem Aktivieren erhalte ich auf der Settings Seite leider nur die Ausgabe “Bist du sicher, dass du das tun möchtest?” und darunter einen Link zur Plugin-Seite. Hat jemand eine Ahnung, woran das liegen könnte?

Freue mich auf mögliche Lösungsvorschläge. :)

Viele Grüße
Whooper

Vielleicht wäre es auch sinnvoll, den Initialstand der Templates zu speichern und dann in Abständen nur zu vergleichen. Bzw. den ersten Durchlauf als “ok” zu markieren, selbst wenn es Teile im Quelltext gibt, die gefährlich sein könnten.

@Whooper
Welche WP-Version? Schreib mir sonst ‘ne E-Mail, schauen wir uns gemeinsam an.

@micha
Gute Idee.

Hmmmm…..also bei mir sieht es so aus:

- Ich mach eine manuelle Prüfung, dann werden alle Template-Dateien angezeigt. Alle grün, bis auf eine. Die wird in “Rot” dargestellt.
Die Datei “xyz.php” meinetwegen.

Sooo….damit weiß ich nun, dass in dieser Datei irgendwas “schädliches” drin sein müsste. Aber eine Zeile, die mir den “Infekt” ausweist, sehe ich nicht….mache ich da was falsch?????

@Whykiki
Da kann man nicht viel falsch machen. Schick mir doch einen Screenshot, ich versuche dir zu helfen.

Wenn ich auch gleich mit ein paar Sicherheitsideen aufwarten darf:

1. Eine Überprüfung auf korrekt gesetzte Dateirechte sollte schon einmal viel bringen.
2. Vorschläge zur Änderung des Prefix in der Datenbank.
3. Umbenennen des Users “Admin”.
4. Evtl. Erstellen von index.php- oder .htaccess Dateien in sensiblen Ordnern.

Kurzum: Ich kann mir vorstellen, dass man sich nach Download und Installation dieses Plugins “sicher” fühlt, selbst wenn man die vier oben genannten Punkte gar nicht berücksichtigt hat. Würde das Plugin darauf hinweisen (und evtl. sogar Problemlösungsmöglichkeiten anbieten), so glaube ich wäre man dem Sicherheitsgefühl einen deutlichen Schritt näher.

Ich weiß, dass es schon ein Plugin gibt, das auf diese Punkte hin überprüft, aber ich wäre beruhigter, wenn es aus dem Playground und nicht von einer höchst merkwürdigen Seite kommen würde!

@Michael
Danke für deine Ideen. Vielleicht später, jetzt konzentriert sich das Plugin auf das, was es noch nicht gegeben hat. Es soll erstmal als eine AntiVirus-Lösung agieren, zum Sicherheitspaket kann es immer noch mutieren.

Hallo Sergej, bei mir hat Antivirus was bemängelt:

und zwar das ShowWeightedTagSetAlphabetical gefällt ihm nicht, warum?

Bei mir werden 3 Files vom Theme angemeckert, weil ob_get_contents, fopen, exec und create_function vorkommen (Bild). Scheint aber durchaus vom Autor zu stammen.

@KRiZZi
Genau dafür ist das Plugin auch da, um auf solche Stelle hinzuweisen. Ob der Code gewollt oder eher weniger ist, das beurteilt ganz alleine der Mensch.

@Puh
Ja, da muss ich die Länge des kodierten String wohl ein wenig höher schrauben.

Danke für das Plugin! Aber auch hier scheint es “False-Positives” zu geben. Beispielsweise wird ein Verfizierungscode von Google Webmaster Tools als schädlich erkannt. Nun gut, ich weiß, dass ich diese Zeile selbst eingebaut habe, von daher weiß ich auch dass es sich nicht um Schadcode handelt. Ich könnte mir aber gut vorstellen, dass es anderen Usern nicht auffällt, oder sie nicht dran denken, dass der Code von Google kommt.

Michael, wie im vorherigen Kommentar bereits geschrieben, inspiziert das AntiVirus-Plugin die Dateien und weist auf verdächtige Codezeilen hin. Ob der mutmassliche Code an der vermuteten Stelle gewollt ist, kann und sogar darf ganz alleine der Blogbetreiber entscheiden. Mein Tool hilft bei der Lokalisierung der Schwachpunkte.

Das große Problem dieses Plugins ist es leider, das „Viren“ das Plugin kinderleicht manipulieren können. Das liegt daran, dass ein PHP-Script nicht so wie bei „echten“ Virenscannern den Datenfluss kontrollieren kann. (FTP…)

@JHR
Halb richtig ;)
“Viren” können mein Plugin nicht manipulieren. Aber ja, das stimmt, “sie” können – wie ich im Beitrag erwähnt habe – anderen Weg gehen, um vom AntiVirus-Plugin unerkannt zu bleiben, indem neuartige Techniken verwendet werden. Das Katz-und-Maus-Spiel wird man in diesem Bereich immer haben, da es keine Alternativen gibt.

@Michael #31
Wobei ich solche Dinge, die sehr verbreitet sind wie z.B. “Google Webmaster Tools” Key auf eine White-List setzen kann.

@Sergej (#32): Danke für die Antwort! Was ich eigentlich damit sagen wollte (ich habe es mir gedacht, aber nicht geschrieben ;-)): Ein Hinweis wäre toll, dass die beanstandeten Codezeilen nicht zwingend schadhaft sein müssen. Ich kann mir gut vorstellen, dass manche User markierte Zeilen (bspw. aus der functions.php) einfach löschen und sich nachher wundern, dass ihr Theme nicht mehr richtig arbeitet oder irgendwelche anderen Funktionen plötzlich nicht mehr laufen.

Michael, ok, fair. Guter Einwand. Werde ich so implementieren. Dankeschön.

Hab es mir mal installiert und mir ist etwas aufgefallen, was ich anders gelöst schöner fände…

Könnte man zwar automatisch prüfen lassen, aber statt der Mail nur eine Meldung (Sicher/Unsicher) im Dashboard ausgeben lassen?

Bernd, in einer der nächsten Versionen wird es auch diese Ausgabemöglichkeit geben – wollte nicht alles auf einmal implementieren ;)

@Sergej: 2.7.1 – getestet auf insgesamt drei WP-Installationen.

Bernd, in einer der nächsten Versionen wird es auch diese Ausgabemöglichkeit geben – wollte nicht alles auf einmal implementieren ;)

Toll :)

Bernd, ist ja erst die erste Version. Es wird noch viele an Features kommen. Versprochen.

Danke Sergej!

Da stimmt was nicht, das Plug-in ist 8,89 KB und keine 12 KB groß. So wird es bei mir nach den Download angezeigt.

Nee, das stimmt alles. Mein Programm zeigt mir abgerundete 12 kB an. Aber ist es nicht gleichgültig?

Das Ding erkennt vermutlich base64-Funktionen, ich hoffe du was eingebaut, dass wpseo.php ignoriert wird, sonst explodiert der Anti-Virus-Scanner :D

Ach, natürlich gibt es auch einen Verbesserungsvorschlag, wäre sonst gemein nur Witze zu machen: Hat das Ding einen Selbst-Check mit MD5 eingebaut? Ich denke, wäre sinnvoll, falls jemand den Scanner manipuliert.

Dennis, wohl zu flüchtig den Artikel gelesen, was? ;)

Es werden nur Templates des verwendeten Theme durchsucht, keine Plugins (wo jede zweite Zeile einen Systemaufruf beinhaltet und für Angreifer absolut nicht lukrativ sind).

Mal eine hypothetische Frage: Was hindert einen Wurm daran, wenn er schon Dateien bearbeiten (und Code einschleusen) kann, auch gleich die Datei des AV-Plugins zu löschen? Sinnvoll wäre es vielleicht daher, wenn der Name der Plugindatei dynamisch vor dem Download generiert und dann gepackt wird oder so. Wobei man das Plugin dann aber immer noch via Datenbankzugriff deaktivieren könnte…also nicht trivial die Sache.

Danke für das Plugin!
Zwei Punkte:
1. Fehlalarme müssten irgendwie ausgeklammert werden können.
Ich habe bsp. ein “fopen” in der functions.php und somit ständig einen Fehlalarm.

2. Wäre es möglich Teile der DB z uscannen, weil durch SQL-Injection, bsp. gerne über Links in Beiträge kommen?

Gruß Tim

@jottlieb
Ich habe die Erfahrung gemacht, dass die meisten Exploits ganz vorsichtig und mit viel Liebe zum Detail stattfinden, sprich: Es werden keine Dateien gelöscht, nichts deaktiviert – auch keine Plugins. Wenn Datenbankzugriffe, dann nur die nötigsten. Warum? Damit nur so wenige Dinge wie notwendig angefasst werden, damit es es bloß keinem auffällt, dass jemand an den Dateien dran war.

Aber: Die Entwicklung des AntiVirus-Plugin ist ja eben gestartet, da ist noch soooooo viel Potential offen.

@Tim
Es wird eine White-List kommen. Die angesprochenen Datenbankfelder werden bereits analysiert.

Dennis, wegen md5() – wenn schon einer (gleichgültig Mensch oder Maschine) den Quelltext des Plugin verändert, dann müsste er ein Dummkopf sein, um die Prüfsumme des Schlüssels nicht anzupassen.

got through your blog through an announcement on weblogtoolscollection mind sharing it on english version? thanks and much appreciated

@Leo
Of course, a time later.

@Sergej: “White-List” ist ok, aber felxibler wäre ein Kommentar wie
#sergeys_antivirus
CODE
#/sergeys_antivirus

Tim, erstens müsste man die Templates anfassen und zweitens würden böse Jungs doch gleich ihren eingeschleusten Code mit AV-Flags versehen und können weiter ruhig schlafen. Ich mach mir noch Gedanken diesbezüglich.

It would be greatly appreciated if you could build in the option to ignore false positives. An example would be: "include(dirname(__FILE__).'/themetoolkit.php');".

Awesome plug… Thank you!

@Sully
ToDo for the next version. Thx.

Wie sieht es denn aus mit einem Scan von Plugindateien? Für das Template ist das aber schon ganz nett. :)
Achja und, wurde glaube ich schon genannt, ein Hinweis auf dem Dashboard wäre nett.
Gruß

@ocean90
Ein Plugin ist eine Codewüste – wonach sollte man da suchen? Außerdem würde keiner einen Wurm in ein Plugin setzen, da diese automatisch aktualisiert werden. Somit wäre die Lebensdauer eines Exploits bzw. einer Injektion sehr beschränkt, der betriebene Aufwand würde sich gar nicht lohnen.

Das gleiche gilt übrigens auch für WordPress-Core-Dateien. Warum werden ausgerechnet Templates zum Ziel der Angriffe, hatte ich im Artikel WordPress-Wurm treibt sein Unwesen näher beschrieben.

Wirklich tolle Idee. Werde es gleich testen und sicherlich auch kurz bloggen. Echt coole Sache!

Grüße
Andreas

Herzlichen Dank für Deine tollen Plugins, neben der AntispamBee hat nun auch dieses auf meinem Blog Einzug gehalten.

Danke für das Plugin. Ein andere Mailadresse einzugeben wäre nicht schlecht. Auch wäre es sinnvoll eine andere Sprache zu nutzen als die von WordPress

Heute hab ich es endlich geschafft das Plguin zu bloggen.
Super Arbeit :)
Ich weis nicht ob es schon gesagt wurde, aber evtl. kann man es so machen, das die User selbst einstellen wie oft gesucht werden soll.
Ich find täglich als Intervall zu oft muss ich sagen, manchen sicher auch zu wenig ^.^

Gruß,
solar22

Danke fürs Bloggen. Hab ich mir notiert.

Hatte ich übrigens gestern auch gemacht, aber irgendwie kommen meine X-backs bei dir nicht an. Strange, somehow!

@KRiZZi
Der Dank geht auch an dich. Gestern waren einfach zu viele X-Backs, musste sehr viele manuell aussortieren. Speichere deinen Beitrag erneut, dann werden diese wiederholt rausgeschickt.

I am reading your blog through translate.google.com…fascinating. Anywho, great idea for a plugin. Surprised no one else has tried to accomplish this task.

I would encourage you for the next update to make an optional badge that installs in the blog footer displaying that your plugin is protecting this blog from dreaded virus’. That promotes you and offers the blog reader a sense of security.

I am going to install it and give it a go momentarily. Thanks for the great plugin. :)

Blessings,
Wendy

AntiVirus Version 0.2

An dieser Stelle herzlichen Dank fürs Feedback und die rege Unterstützung. Da die Funktion für die Setzung der verdächtigen Codezeilen auf eine White-Liste am meisten gewünscht war, habe ich diese Möglichkeit auch zuerst eingebaut. Ab sofort können also aufgelistete Treffer einzeln als “Ist kein Virus” gekennzeichnet werden – diese Codefragmente werden nicht mehr als Virusverdacht angesehen.

Die frisch hinzugekommene Erweiterung ist mit Vorsicht zu geniessen, markiert also nur die Stellen als virenfrei, wenn ihr davon auch tatsächlich überzeugt seid und wisst, was ihr tut.

Noch als kleiner Hinweis: Die bisher einzige Einstellung für die automatische Prüfung (ja, die Checkbox) wird bei diesem Update nicht übernommen, hat technische Gründe. Sorry.

So, nun aber viel Spaß mit der neuen Version des AntiVirus für WordPress.

Hello,

I’m an Italian user, i have made an translate for Italian language, if you want i can send u file .po and .mo.

@Le Favà
Yes, of course.

Hi Sergej,
Tolle Arbeit. Ich habe es gleich installiert. Auch auf meinen anderen Blogs.
Danke.

Seit dem letzen Update werden die verify Codes von Google als Virus erkannt. Habs zwar auf die withlist gesetzt, wollte es trotzdem mal mitteilen.
Gruß

@dodo
Ist Absicht, ich habe die Anzahl der Zeichen eines kodierten String runtergeschraubt – ist zuverlässiger, für den Fall einer Aufspaltung des Gesamtbefehls.

Hallo,

ich habe das Plugin installiert und aktiviert, aber nach dem Drücken auf “Templates jetzt manuell prüfen” passiert… gar nichts. Kann es sein, dass ich noch irgendwas freigeben oder Lese/Schreibrechte ändern muss o.ä.?

getestet, für gut befunden und installiert. danke für´s plugin!!!

@R. Kneschke
Eigentlich nicht. Kann ich dir auch schlecht au der Ferne sagen. WP 2.5 und höher?

@ Sergej: Ja, WP 2.7.1

Klasse Tool!

Easy Installation und danach das Gefühl von ein wenig mehr Sicherheit.

Cool.

Wie immer gute Arbeit und ein Klasse Plugin von dir Sergej.

Schöne Grüße und vielen Dank
Ulf

Danke Dir Sergej für das tolle Plugin.

Gruß Chris

Du hastet ja geschrieben, dass das Plugin die DB scannen würde. Ich hatte heute 5 Einträge in der die wie folgt aussahen (ohne die #s):

Es stellt sich die Frage wie so etwas an das Ende der Postings kommt, obwohl wp aktuell ist, kaum Plugins installiert sind (schon gar keine sicherheitskritischen) und auch sonstige Maßnahmen, wie verändertes Prefix, kein Admin und keine WordPress Version in Quelltext ausgegeben wird?
Scannt Dein PLugin nach solchen Einträgen? Danke für Deine Zeit!

So, nun bin ich aus dem Urlaub zurück und kann mich wieder der Weiterentwicklung meiner Plugins widmen.

@R. Kneschke
Hmm, magst du mir vielleicht eine E-Mail schreiben, ich würde mir das gerne genauer anschauen.

@Tim
Korrekt, das AntiVirus-Plugin scannt die Datenbank, aber nicht komplett, sondern bestimmte Felder auf die aus den Templates zugegriffen wird. Da dein Kommentar scheinbar nicht vollständig angekommen ist, möchte ich dich bitten mir ebenfalls eine Nachricht mit dem Code zu schicken. Vielleicht kann ich da was tun, wenn ein Muster erkennbar ist.

Ich habe das Plugin gerade auch schnell testen können, was auch wirklich schnell von statten geht. Das hätte ich nicht gedacht. Es gab nur 4-5 Meldungen in einem der WP-Themes, aber diese Codes, das kann ich mich noch erinnern, waren bereits seit Anfang darin, wo ich dieses Thema heruntergeladen habe.

Dieses Plugin kann vielleicht wirklich die Sicherheitslücke schließen – zumindest schafft es erst mal ein sicheres Gefühl…

@Whooper, Sergej:
Das Problem für die Fehlermeldung “Bist du sicher, dass du das tun möchtest?” beim Aufruf der Einstellungsseite ist auf Zeile 550.
Es wird nur überprüft ob _POST gesetzt und nicht leer ist. Leider gibt es Plugins die in diesem Array rumschreiben, was dann zu dem Problem führt, da dadurch _POST existiert und nicht leer ist, obwohl vom Browser 100% kein Post-Request kommt.

@Danez
Gut, dass es nicht das AntiVirus-Plugin ist ;)

Dr.Web hat heute seine Leserschaft mit einem mehr oder weniger wertvollen Beitrag erfreut – der Titel war “AntiVirus für WordPress als Gefahrenquelle?”. Ja, richtig gelesen, mein AntiVirus-Plugin stellt angeblich eine bedeutende Gefahr dar. Zum späteren Zeitpunkt wurde der Artikeltitel auf “AntiVirus für WordPress und Nutzer als Gefahrenquelle?” modifiziert. Soso, jetzt droht die Gefahr nicht nur WordPress als Blogsystem, sondern auch den Nutzern.

Angeblich braucht man doch solche Tools gar nicht entwickeln, sonst unterstützt man doch die naiven Nutzer bei ihren Schlampereien mit dem zu schwach angelegten Passwort oder nicht geschützten Bereichen oder SFTP statt dem File Transfer Protocol. Nur weil solche Anwendungen programmiert werden, denken die Anwender nicht an die Sicherheit. Ja, ne, ist klar. Vor dem Erscheinen des AntiVirus-Plugins war die Einbruchsquote sicherlich deutlich geringer als nach der Veröffentlichung des Plugins. Aha, na das ist doch ein Grund das Plugin einzustellen.

Wenn ich mir solche Beiträge lese (bei Dr.Web bereits zum dritten Mal), dann vergeht mir jede Lust ein weiteres innovatives Plugin zu basteln und dem breiten Publikum zur Verfügung zu stellen. Weil in dieser Innovation auf ein mal Dinge gesehen werden, die unsere Privatsphäre, unsere Sicherheit, unseres Leben bedrohen können. Anstatt selbst produktiv zu werden und coole Dinge zu entwickeln, werden meterlange Artikel verfasst, welche Nebenwirkungen eine Anwendung haben könnte. Hallo! Bald sitzen wir alle und meckern nur rum, dass keiner etwas programmiert, damit wir was zu meckern haben.

Soviel zum Thema Motivation. Und natürlich Kommunikation. Der Autor des Beitrages hat keinesfalls hier im Blog einen Kommentar mit seinem Bedenken hinterlassen. Nein, er hat es gewinnbringend an Dr.Web verkauft. Jaja, die einen schuften, machen den Scheißjob, die anderen verdienen dran.

Verzeiht mir die Schreibweise, bin echt sauer!

Zitat: “Jaja, die einen schuften, machen den Scheißjob, die anderen verdienen dran.”
Ohne kompetente Details auf meinen Autodidakten-Tisch legen zu können sei mir eine kurze Bemerkung erlaubt:
Ähnliche Abläufe kenne ich in abgewandelter Form auch aus meinen Tätigkeitsbereichen, aus Bereichen, die sich den sozialen Aspekt auf die Fahne geschrieben haben …
“Falsche Fahnenträger” tragt eure Wassereimer allein …
Mein Gefühl sagt mir, daß Du einen guten Job machst.

Lass dich von dem Fiegel jetzt bloss nicht runterziehen! Ich würde sagen, weiter wie bisher, tschakka! :)

Klasse, das nenne ich mal ein super Plugin, schnell hat man die nötigen Dateien durchgesehen und kann sich dann bei nach belieben im Schadensfall eine Mail zukommen lassen.

Top! Danke!

Danke auch für dieses WordPress-Plugin.

Es ermöglicht mir, das Sicherheitsniveau bei meinen Blogs (weiter) zu erhöhen.

Hallo,
danke erstmal für Deine Arbeit.
Ich habe heute zum ersten Mal eine Warnmail erhalten. Antivirus stellte eine Manipulation meiner functions.php fest, was soweit sogar korrekt war. Ich hatte die Datei am Vortag um unkritische Zeilen erweitert.
Antivirus monierte allerdings Zeilen die schon vorher in der Datei enthalten waren, die bisher nicht moniert wurden und die genau den Originalzeilen entsprechen, nur das sie durch meine Ergänzung eben weiter nach unten verschoben sind.
Kann nur die Zeilenverschiebung durch meine Ergänzung so eine Warnung ausgelöst haben? Ich konnte keine sonstigen Änderungen finden.

Natürlich. AntiVirus merkt sich die als “Kein Virus” deklarierten Code-Abschnitte anhand der Zeilennummer. Wenn du sagst, diese eine bestimmte Zeile ist unschädlich, dann wird ein Hashwert dieser Zeile samt Zeilennummer gespeichert, damit diese bei der nächsten Prüfung übersprungen wird.

Verschiebt sich der bereits gekennzeichnete Code in der Zeilenposition, so wird Alarm ausgelöst, da AntiVirus davon ausgeht, dass die Änderungen zusätzlich bzw. nachträglich hinzugefügt wurden – sind also neu, der Administrator hat die Änderung an der Datei unter Umständen nicht mitbekommen – also könnte dort potenzielle Gefahr stecken. Und das ist genau die Aufgabe des Plugins: Potentielle Gefahr erkennen.

Am Rande gemerkt: Das Computer-Magazin com! hat das AntiVirus-Plugin in der aktuellen Printausgabe erwähnt und empfohlen.

Herzlichen Glückwunsch!

Erfreulich, wenn ein Computer-Magazin wie com! zutreffende Empfehlungen ausspricht.

Ich möchte das Plugin Antivirus für WordPress auch nicht mehr missen.

Mal ne Fehlermeldung. Habt´s da ne Idee? Nobody is Perfect…

WP 2.7.1
Das Plugin kann nicht aktiviert werden, da es einen fatalen Fehler erzeugt.

Das hat mit “Nobody is Perfect…” nichts zu tun. Das liegt an der Konfiguration deines Servers, wo der Pfad des Roots falsch gesetzt ist. Google mal nach der Fehlermeldung, wirst du fündig, auch Lösungen werden zuhauf angeboten.

@Sergej

Danke, werd mal suchen. Mit “NiP” meinte ich doch nicht das es an dem Plugin liegen muss.

@cyriakus
Kein Problem. Wenn du nicht weiterkommst, schreib mir eine E-Mail, finden wir schon einen Weg.

Nur eine Frage sei erlaubt?
Werden nur die Themes überprüft, oder die Datenbank allgemein?
Gruß aus dem Norden von
Thomas

Es werden Templates und bestimmte Teile der Datenbank geprüft.

Ich habs auch installiert. :) Dankeschön.

Danke Sergej! Klingt echt genial! Vor allem wenn man öfters mal ein neues Theme testet

Haben Sie sich auch zwingen, Scannen / index.php? Ich habe konstant porblem mit dieser.
—
Did you think of forcing scanning also /index.php? I have constant porblem with this one.

@x600
Yes, of course. The next update will include this feature.

Update: AntiVirus für WordPress 0.3

Nach einer etwas längeren Pause wurde das AntiVirus-Plugin gründlich überarbeitet und mit – in den Kommentaren angesprochenen – Funktionen bzw. Optionen ausgestattet. Das fertig gestellte Update wird in den nächsten Stunden über die WordPress-interne Aktualisierung verfügbar sein und kann automatisch installiert werden.

Neu hinzu gekommen ist das Feld für die Eingabe einer alternativen E-Mail-Adresse: der Empfänger bekommt Benachrichtigungen zugeschickt, falls bei täglichen Prüfungen verdächtige Dateien ausfindig gemacht werden. In dieser Nachricht befindet sich – zusätzlich zum Blog-Namen – neuerdings auch die Blog-URL (Startseite, aus Sicherheitsgründen nicht der Link zum Admin-Bereich), um unterscheiden zu können, welcher Blog den Alarm schlägt.

Kommt es einmal zum Verdachtsfall, so wird erstens eine E-Mail mit dem Hinweis verschickt. Zweitens, auf dem WordPress-Dashboard erscheint im oberen Bereich der Webseite ein entsprechender Hinweis. Diese Maßnahme ist dafür gedacht, falls die E-Mail – aus welchen Gründen auch immer – den Empfänger nicht (rechtzeitig) erreicht hat. Nach einem manuellen Scan der Dateien verschwindet die Warnung vom Dashboard selbsttätig.

Ab sofort hat die WordPress-Erweiterung auch eine eigene Produktseite unter wpAntiVirus.de

Weitere Details sind oben unter Versionierung auffindbar.
Und: Gibt Viren auch unter WordPress keine Chance.

Hey Sergej,

super Plugin! Allerdings wundere ich mich, dass so wenig Templates überprüft werden – nämlich nur die die in meinem aktiven Theme-Ordner sind. Ist das so gedacht oder stimmt da was nicht?

Ani, es steht auch oben im Beschreibungstext so: “…Templates des verwendeten Theme.” Warum sollen inaktive Dateien geprüft werden, die nicht in Verwendung sind? Das würde nur die Dauer der Prüfung verlängern, den Server belasten und dabei keinen Nutzen haben – die Default-Themes packt WordPress beispielsweise bei jedem (automatischen) Update ins themes-Verzeichnis rein und sie werden meist nie verwendet. Sobald du das Theme umstellst, wird natürlich das aktuell verwendete gescannt.

Huch, das hab ich wohl überlesen – tut mir leid.
Ich dachte nur, weil sich solche Malware-Codes ja auch in andere Dateien einschleichen können – nicht nur in die Theme-Dateien. Beispielsweise in die index.php im Ordner wp-admin, oder in die functions.php!
Dass es sinnlos ist, inaktive Theme-Dateien zu durchsuchen ist mir schon klar. :)

Ani, die functions.php wird berücksichtigt, da diese auch im aktiven Theme-Ordner liegt. Theoretisch kann jede Datei des Blogsystems infiziert werden, doch das macht kaum ein Hacker, weil die Änderungen dort nur solange halten, bis WordPress aktualisiert wird.

Und da die meisten Viren eine HTML-Ausgabe generieren, macht nur ein Infekt innerhalb der Templates Sinn. Außerdem lassen sich ausschließlich Files aus dem themes-Ordner innerhalb des internen Theme-Editors bearbeiten. Es gibt noch weitere Gründe wie Sicherheit, Fehlerquote, Komplexität – nichts ist umsonst ;)

Aaaah, deine Erklärung macht Sinn. Danke schön. :)
Ich selbst benutz für mein Theme gar keine functions.php, aber in dem Ordner wp-includes liegt auch eine Datei die so heißt, und die war bei mir damals auch befallen.
Versteh aber jetzt was du meinst!

Ani, die Core-Dateien, zu welchen auch die functions.php aus wp-includes gehört, sind voll mit PHP-Code – da ist es unmöglich nach bestimmten Fragmenten zu suchen, weil diese an jeder zweiten Stelle verwendet werden. Und da der Core mit jedem WordPress-Release um zahlreiche Funktionen erweitert wird, würde auch eine gepflegte Whitelist viel zu schnell veralten und irgendwann keinen Sinn mehr machen oder einen enormen Zeit- und Pflegeaufwand bedeuten.

Mit meiner Lösung versuche ich die Balance zwischen Automatismus, Zuverlässigkeit, Sicherheit und Schutz zu finden. Klar, es ist nicht perfekt, man könnte noch mehr Dateien und Stellen prüfen, doch ich muss schauen, dass die Lösung auch benutzbar und pflegeleicht bleibt. Auch WordPress-Anfänger sollen damit klar kommen, ohne verdächtige Stellen aus dem Core freigeben zu müssen. Ich hatte in letzter Zeit sehr, sehr viele E-Mails und Rückmeldungen bekommen, wo AntiVirus-Nutzer über ihre positiven Erfahrungen berichtet hatten. Daran sehe ich meinen Job als bestätigt.

Aber gute und berechtigte Fragen stellst du, gefällt mir ;)

Danke für das interessante Plugin.

Bei mir hat es in den functions.php der theme einen paypal “security” string gefunden. Vielleicht kannst du das ja anders erkennen lassen..

Grüße

@tribble
Nein, es gibt keine Ausnahmen im Plugin, wird es auch aus Sicherheitsgründen nicht geben. Deswegen hat man innerhalb des Plugins die Möglichkeit in der Hand, die gefundenen Treffer einer Whitelist via “Kein Virus”-Schaltfläche hinzufügen.

[quote=sergej]Ani, es steht auch oben im Beschreibungstext so: “…Templates des verwendeten Theme.” Warum sollen inaktive Dateien geprüft werden, die nicht in Verwendung sind?[/quote]

nun, es würde sinn machen, da es einige leute gibt, die einen theme-switcher nutzen und den benutzern von daher auch unterschiedliche themes kredenzen ;)

das argument mit der prüfungsdauer sehe ich ein, allerdings währe es schön, wenn der admin die möglichkeit hätte die übrigen themes prüfen zu können, ohne selbst immer das theme switchen zu müssen. etwa indem du ein pulldownfeld einbaust, in welchem du die installierten themes anbietest und das aktive theme als default markierst.

vG

arno

ps nur so eine idee ;)

@arno
Mit einem Pulldown würde es nur im manuellen Scan-Modus klappen und etwas bringen. Im automatischen Zustand würde es dagegen nicht funktionieren. Wobei das ja die Stärke des Plugins ist, dass die Files täglich geprüft werden, ohne das man im Backend die Dateien regelmäßig händisch durchsuchen lässt.

Alle vorhandenen Themes zu prüfen (ohne Einschränkungen) halte ich für absolut nicht sinnvoll. Ich könnte aber eine mit Checkboxen versehene Liste der Themes abbilden, wo der Administrator die aus seiner Sicht wichtigen Themes auswählt und somit für den Prüfvorgang sozusagen markiert.

es war, um den automatischen scan nicht übermäßig zu belasten, auch nur für den manuellen scan gemeint – von mir jedenfalls ;)

ein mit checkboxen versehene liste ist auch nicht schlecht.

die gefahr bei einer, durch die liste einstellbaren, vollprüfung ist die überschreitung der gesamt-php-laufzeit auf dem jeweiligen server. vor allem, wenn auf dem webspace gleich etliche themes installiert sind.

dies könnte man, z.b., dadurch umgehen, das die liste in entsprechenden einzelschritten abgearbeitet wird. dabei eine tabelle der noch abzuarbeitenden themes mitgeben, so das immer nur 1 theme zur zeit geprüft wird, dann sollte im extremfall die wartezeit für dein einzelnen benutzer nicht so groß sein. wobei man dem benutzer bei einer solchen prüfung entsprechend anzeigen sollte, das diese gerade durchgeführt wird und er im anschluß auf die gewünschte seite geleitet wird.

gegebenenfalls könnte man auch darüber nachdenken, einen entsprechenden parameter für chronjobaufrufe zu definieren, über den das plugin ansteuerbar ist (muss natürlich auch entsprechend im customizing einstellbar sein). wird diese einstellung getätigt, findet die prüfung nur noch im hintergrund über einen entsprechenden chronjob statt und die benutzer werden entsprechend nicht mit den prüf-wartezeiten “belästigt”. der admin muss diesen chronjob, so er ihn den nutzen will, entsprechend auf seinem system konfigurieren.

vG

Arno

Arno, eine manuelle Einrichtung des Cronjobs auf dem verwendeten System kommt überhaupt nicht in Frage, da – wie du es schon korrekterweise angemerkt hattest – ein Cronjob meist nur durch den Administrator des Servers (nicht mal alle WebHoster stellen Cronjobs als Option zur Verfügung) gestaltbar ist. Für viele Blogger ist Cronjob absolut kein Begriff.

Es muss eine Lösung her, die auf allen Blogs automatisiert durchgeführt wird, ohne dass der Einsteiger sich um die technischen Hintergründe kümmern muss. Ich hab da eine Idee (basierend auf der bereits jetzt verwendeten Cronjob-Funktion von WP) – werde diese auf ihre Komplexität und “Sauberkeit” prüfen.

Danke dennoch für dein ausführliches Feedback.

Update auf AntiVirus für WordPress 0.4

Lange geplant, jetzt endlich implementiert: Mit zunehmender Erfahrung im Bereich WordPress sammeln sich praktische Dinge und wertvolle Erkenntnisse, die ein Plugin noch stabiler, sicherer, benutzerfreundlicher und vor allem rasanter (auch Backend darf nicht ausgebremst werden) machen. All das ganze Wissen ist jetzt in die Entwicklung der WordPress-Erweiterung eingeflossen. Somit gehören AntiVirus für WordPress und Antispam Bee zu den modernsten und effektivsten Plugins der Szene.

Am Rande gemerkt: Es handelt sich dabei um ein reines Wartungsupdate, es sind keine neuen Funktionen hinzugekommen.

Erster. Na dann wollen wir mal das Wartungsupdate starten. Vielen Dank für Deine Bemühungen.

Nettes Plugin, habe auch schon längere Zeit nach etwas ähnlichem gesucht :)

Super info´s Danke Euch. Weiter so

ich bekomme bei themes mit phpthumb bergeweise false positives und es ist sehr mühselig, einen nach dem anderen abzunicken. vielleicht war ich auch zu schnell, aber gespeichert wurde das abnicken nicht.
hier wäre ein bulk management sinnvoll.

@don
Massenweise False Positives können nur eins bedeuten: Antispam Bee ist nicht vernünftig in Betrieb. Lies dir doch die letzten Kommentare auf dieser Seite durch, da gibt es ein “Möchte gern”-Plugin, welches dazwischen funkt. Da du keine Blog-Adresse angegeben hast, muss du da selbst auf die Suche nach der Ursache.

danke, die site ist noch nicht online. antispam-bee habe ich nicht installiert, denn kommentare sind gar nicht vorgesehen. und ich habe kein weiteres plug-in mit ähnlicher funktionalität installiert. das problem dürfte sein, dass phpThumb viele funktionen nutzt, die gerne missbraucht werden.

der kern meines posts ist das usability-problem des plug-ins, wenn innerhalb einer datei viele verdächtige stellen im code moniert werden und man jede einzeln freigeben muss, anstatt zu sagen: ist sauber, hab ich grade installiert, bitte nur noch bei manipulationen warnen.

nix für ungut, gute idee.

AntiVirus für WordPress 0.5
Mit Sicherheit hat jeder WordPress-Blogger mitbekommen, dass zurzeit ein Wurm unterwegs ist, der sich im Blog als unsichtbarer Administrator registriert und die Permalink-Struktur verändert, um eigenen Code von entfernten Servern zu laden.

In der aktuellen Plugin-Version ist eine Zusatzabfrage eingebaut, die auf modifizierte Permalinks prüft und bei Gefahr Alarm schlägt. Die Prüfung findet beim Aufruf der Plugin-Optionsseite und – sobald aktiviert – bei täglichen Ausführungen im Hintergrund statt.

AntiVirus für WordPress 0.5 kann entweder auf der Website des Plugins oder als automatisches Update im Backend installiert werden.

Ah endlich habe ich die Seite zum dem Plugin gefunden Sergej :-) Seitdem der Wurm auch beim Martin vom Tagseoblog war habe ich dein Tool auch installiert. Sicher ist sicher. Langsam wird mir aber WordPress unsicher, es ist scheinbar sehr einfach für einen Hack mit etwas Wissen in einen Blog basierend auf WordPress einzudringen. Ein Projekt ist von mir schon auf Drupal, siehst du das genau so ?

Mirco

Mirco,

durch den offenen Code des WordPress ist es für die Eingreifer natürlich Vieles einfacher: Wird eine Sicherheitslücke bekannt, wird versucht sie auszunutzen. Wobei, würden Nutzer die WP-Updates rechtzeitig einspielen, würde es zu solchen Problemen erst gar nicht kommen, da WordPress sehr schnell reagiert und somit einer möglichen Infizierung eine Riegel vorschiebt.

super danke!

Dass von WordPress Templates eine Virengefahr ausgeht hätte ich ja so nicht gedacht. Muss ich dann gleich mal checken.

AntiVirus für WordPress 0.6
Da mit WordPress 2.9 eine modifizierte Struktur der Pfade zu den Dateien eines Theme Einzug gehalten hat, mussten die Pfade auch im Plugin je nach WordPress-Version nachträglich geändert werden. Das Update auf die Version 0.6 bringt diese Änderung mit und sicher eine zuverlässige und fehlerfreie WP 2.9-Unterstützung des AntiVirus Plugins.

Das Update wird im Administrationsbereich angekündigt.

Lieber Sergej,

ein ganz herzliches Dankeschön für Deine Plugins und das schnelle Update für WordPress 2.9.

Beste Grüße und einen schönen 4. Advent wünschend
Dieter

Dieter, hab ich gern gemacht. Der Erfolg des AntiVirus Plugins soll ja mit WordPress 2.9 nicht abreissen. Alleine das offizielle WordPress Plugin-Verzeichniss hat in den 10 Monaten über 30.000 Downloads gezählt. Da bin ich stolz drauf.

Vielen dank für das Plugin, genau so etwas habe ich gesucht um mein WordPress sicherer zu machen. Ich benützte jetzt schon ein paar von deinen Plugins und bin mit diesen auch sehr zufrieden. Echt toll was du alles für Plugins für WordPress erstellst.

Jetzt braucht man auch schon Antivirus Plugins für Blogs… ;-(
Aber danke für den Artikel!

Die neue Version 0.7 funktioniert bei mir nicht korrekt. Wenn ich auf “Theme-Templates jetzt prüfen” klicke, passiert nichts.

ad, kann ich nicht bestätigen, läuft auf meinen Blogs wunderbar. Auf weiteren Blogs kann ich leider nicht testen.

Entwarnung. Lag an zu restriktiven Rechten, die ich gestern voller Panik gesetzt habe.

Plugin funktioniert und zeigt Gott sei Dank an, dass alles ok ist. Hab es jetzt mir in beiden Blogs laufen.

Danke!

Oha, manuelle Überprüfung nach Update auf Antivirus 0.7 brachte meinen ganzen include-Modifizierungen beim YAML Green Theme zum Vorschein, indem diese zur Überprüfung hervorgehoben wurden.

Erfreulicherweise konnte ich dabei keine mir unbekannte include-Modifizierung erkennen. Uff!

Danke Sergej, so kann ich schnell erkennen, ob das Theme gehackt und mit einem include versehen wurde. :-)

Dieter, nicht nur Antispam Bee wird besser ;)

Super, wird direkt installiert. Von Security-Problemen bei WP liest man ja schon immer wieder mal. Danke und LG Micha

Sehr nützliches Plugin.
Leider habe ich seit einigen Tagen ein Problem damit, mir werden immer wieder Warungen per Mail geschickt, wenn ich die manuelle Prüfung mache wird mir immer so etwas angezeigt –> http://j.mp/bOXOkM

Diese Zeilen wurden sonst nie gemeldet. Woran kann das liegen?
mfg John

John, dann sind die Zeilen neu hinzugekommen – das ist auch Sinn des Plugins auf verdächtige Neuzugänge hinweisen. Wenn du dir sicher bist, dass die Zeilen in Ordnung sind (was auf den ersten Blick auch ganz danach aussieht), dann markiere sie als Nicht-Virus.

Hallo Sergej, erst mal danke für die rasche Anrwort.

Daran hatte ich auch schon gedacht aber diese Zeilen waren schon immer in dem Theme enthalten, nach der Installation und ersten Prüfung wurde keine Meldung ausgegeben.

Auch wenn sich die Zeilen im Theme verschoben haben oder der vom Plugin geführte Index geleert worden war kann es zum Hinweis kommen. Jetzt muss das Plugin diese Zeilen wieder lernen und in die White-Liste aufnehmen.

Ach so, das erklärt es natürlich.

Vielen Dank. ;)

Bei mir funktioniert der manuelle Scan nicht. Ich erhalte zwar Mails (mit Alarm!) und im Dashboard steht das auch, aber wenn ich auf Scan klicke, erscheint im Adressfeld bloß eine # und sonst tut sich nichts.
Ich arbeite auf Mac mit WordPress 2.7.1 (mein Provider hat leider noch nicht upgedated).
Danke, Werner

Werner, kann ich nicht bestätigen. Auf meiner WordPress 2.7 Instanz läuft alles problemlos. Vielleicht hast du kein JavaScript an?

AntiVirus für WordPress 0.8

Nach Antispam Bee ist nun das zweite mächtige Plugin ready for WordPress 3.0 – eine gründliche Anpassung mit zahlreichen Testphasen, die extrem viel Zeit in Anspruch genommen hat, jetzt jedoch vollzogen ist.

Die Aktualisierung des Plugins wurde gleichzeitig zur Modernisierung des Innenlebens an die aktuellen Standards der WordPress-API genutzt. Ballaste für die Unterstützung älterer WP-Versionen wurden gekillt, stattdessen Performance orientierte Befehle rein und nach Möglichkeit ausgelagert (dazu zählen CSS und JS). WordPress 2.7 ist die Mindestversion.

Kleinigkeiten ändern sich ebenfalls auf der Oberfläche – nichts Gravierendes, lediglich optische Veränderungen fürs Auge.

Soweit von der Front. Happy install… und sagt’s weiter.

Danke fürs Plugin Sergej!

Plugin funktioniert und zeigt Gott sei Dank an, dass alles ok ist. Hab es jetzt mir in beiden Blogs laufen.

Dan

Seit dem letzten Update oder seit update auf WP3.0 kann ich nicht mehr die manuelle Prüfung durchführen. Die automatische Meldung funktioniert, bei der manuellen passiert nichts. Da ich im Theme include() verwende bekomme ich die tägliche Meldung, bisher konnte ich die Dateien als ok kennzeichnen, das geht nicht mehr.

Dann würde ich an deiner Stelle woanders (Plugins, Theme) suchen. Das Plugin wurde auch unter WordPress 3.0 getestet und freigegeben. Ebenfalls hier im Blog kooperieren die beiden Komponente wunderbar – jeweils in letzten Versionen.

Theme wurde nicht geändert. Plugins habe ich mal testweise deaktiviert.
Habe die Seite mal mit IE aufgrufen:

Details zum Fehler auf der Webseite
Meldung: Syntaxfehler
Zeile: 1
Zeichen: 463

Er zeigt auf einen Fehler in jQuery und das kann definitiv nicht sein, weil WordPress diese automatisch einbindet und diese ist zu 100% fehlerfrei.

Du kannst mir gern eine E-Mail schreiben, dann gucken wir zusammen in dein Backend.

Vielen Dank für dein Angebot. Ich habe das plugin jetzt mal auf meinen Testblog eingesetzt, der ähnlich strukturiert und aufgebaut ist. Hier läuft alles gut. Werde also selbst noch nach Unterschieden suchen.

Ist das denn so schwierig die Software gegen Code-Injektion abzusichern? Oder liegt´s an den Plugins, die die Leute auf den Webserver laden, die dann diese Unsicherheit erzeugen? Ich versuch möglichst wenig Plugins einzusetzen.

Hmm klingt interessan bin über Google hier drauf gestoßen aber wie ich das verstehe sollte man sich in den Codes schon näher auskennen damit man nicht ausversehen das falsche als virus abstempelt oder ?

Rene, so ist es. Das Plugin meldet die Verdachtsstellen, der Bloginhaber muss diese begutachten und freigeben.