Auch Entwickler brauchen Platz zum Spielen

13. Juni 2014 /

Sicherheit in WordPress: Das erste AntiVirus-Plugin für WordPress

Weltweit erstes AntiVirus-Plugin für WordPress schützt nachhaltig und effizient vor eingeschleuster Malware im Blog. Mit täglichem Check.
AntiVirus für WordPress

WordPress ist nichts anderes als ein Stück Software, sehr verbreiteter Software. Bedauerlicherweise ist “Software” auch dafür bekannt, Lücken und Löcher aufzuweisen oder mit Viren und Würmern infiziert zu werden. Der Artikel WordPress-Wurm treibt sein Unwesen lieferte einen Vorgeschmack, denn das Thema ist unangenehm und kann fatale Folgen haben. Nachhinein ist man immer schlauer, sagt man sich. AntiVirus für WordPress überwacht den Blog im Live-Betrieb.

Sprungmarken


Features

Warum ausgerechnet AntiVirus für WordPress? Einige Gründe sprechen dafür:

  • … berücksichtigt Warnungen von Google Safe Browsing
  • … erhöht die Sicherheit des Blogs und warnt vor eingeschleusten Schädlingen.
  • … kostet kein Geld.
  • … beeinträchtig die Ausführungszeiten des Blog nicht im Geringsten.
  • … informiert auf Wunsch per E-Mail über den eingeschleusten Virus.
  • … kann händisch per Klick oder automatisiert ausgeführt werden.
  • … sendet keinerlei Daten oder Informationen ins Netz.
  • … lässt ausgegebene Codepassagen auf eine Whitelist setzen.

Funktionsweise

Injections, Exploits, Viren, Malware, Hacks – ein gemeinsamer Nenner: Hinterhältig eingeschleuster Code. Und dieser Code hat nur eine einzige Aufgabe als Ziel gesetzt bekommen: Ausgeführt zu werden!

Durch ausgetrickste Techniken wird jede nur erdenkliche Möglichkeit genutzt, den implantierten Code und die ausgeführte Tätigkeit samt Resultaten unkenntlich zu machen – die Trickkiste der Angreifer ist bodenlos und vielfältig. Als Blogger hat man es außergewöhnlich schwer: Wird man ungewollt zum Opfer einer Attacke, so bekommt man die schwerwiegende Infizierung und die fiese Ausnutzung des Blogs nicht immer zeitnah mit.

Kaum ein Blogbetreiber inspiziert den Quelltext seiner Seiten in regelmäßigen Zeitabschnitten, um eventuell automatisch eingefügte, aber nicht selten ausgeblendete Links zu Erotik- und Casino-Seiten zu lokalisieren. Auch die Templates auf dem FTP-Server werden kaum bis nie einer optischen Kontrolle unterzogen – ist eine Datei vom Virus befallen, würde die Modifizierung durch Dritte erst eine Zeit später auffallen, wenn überhaupt.

Zusammengefasst: Eingeschleuste Schädlinge verstecken sich und ihre Arbeit. Dadurch agieren sie über eine längere Zeitspanne unentdeckt und ungestört, richten gewaltigen Schaden an.

Frühwarnsystem für WordPress
Nun gut, die Tragödie ist geschildert und verstanden: Der Schaden wäre enorm, wenn nicht sofort nach dem Eingriff bzw. Angriff reagiert wird. Doch wie aktiv werden, wenn man als Blogbetreiber von der getätigten Infektion nichts mitkriegt – schließlich kündigt sich die Aktion nicht an? Genau bei diesem Problem leistet das erste AntiViren-Plugin für WordPress eine grandiose und unerlässliche Hilfe: AntiVirus für WordPress prüft relevante Template-Dateien auf möglicherweise injizierten Code. Wahlweise manuell oder automatisch im Hintergrund.

Nach dem Aktivieren des AntiVirus für WordPress lässt sich die Funktionalität des Plugins in Anspruch nehmen. Die unter Einstellungen verfügbare Checkbox schaltet automatische Kontrollabläufe scharf: Einmal täglich werden Templates des verwendeten WordPress-Theme auf bösartige Abschnitte gescannt, bei Verdacht bekommt der Administrator des Blogs eine Benachrichtigung per E-Mail zugeschickt. Alternativ kann eine beliebige E-Mail-Adresse hinterlassen werden.

Automatischer Check im AntiVirus für WordPress
Automatischer Check im AntiVirus für WordPress

Manuelle Prüfung
Die händisch angestoßene Untersuchung liest alle Theme-Dateien sofort ein und wertet den Inhalt gleichzeitig aus. Das Ergebnis ist eine Liste an Dateien, die dem Check unterzogen worden sind. Bei der Ausgabe spielen Farben eine bedeutende, jedoch selbsterklärende Rolle: Grün steht für “Datei ohne Befund”, Rot signalisiert eine Warnung, wobei die Verdachtsstelle inmitten der Zeile gelb hervorgehoben wird.

Ist man sich sicher, dass eine Zeile definitiv keine Gefahr darstellt, kann sie per Klick auf “Kein Virus” stumm geschaltet werden. Bei nächster (automatischer oder manueller) Prüfung wird diese Stelle im Code übersprungen.

Manuelle Prüfung der WordPress-Templates
Manuelle Prüfung der WordPress-Templates

Google Safe Browsing
Seit Version 1.3.4 verfügt das Plugin über eine wertvolle Möglichkeit, auf den Datenbestand von Google Safe Browsing zurückgreifen zu können. Sobald Google der Meinung ist, die Website wurde von einem Infekt befallen und stellt eine Gefahr dar, bekommt das AntiVirus-Plugin es mit und benachrichtigt den Blog-Administrator per E-Mail. Die E-Mail beinhaltet einen Link zur Google Safe Browsing Diagnoseseite mit weiterführenden Informationen.

Hilfreiche Links für gehackte Websites:

Technische Details
Das AntiVirus-Plugin durchsucht aktive Templates nach Blöcken, die auf einen via Code-Injektion initialisierten Virus hindeuten können. In der Regel sind es Befehle für die Kodierung, Auswertung und Ausführung von Zeichenketten als PHP-Code. Auch Werte aus den Optionsfeldern der Datenbank werden herangezogen und analysiert.



Hilfeleistung via PayPal, Flattr, Amazon ist jederzeit willkommen. Danke.


Download

› AntiVirus für WordPress ↓


Mindestanforderungen

  • WordPress 3.8
  • PHP 5.2

Hinweise

  • Da zahlreiche Theme-Entwickler ihre Copyright-Hinweise im kodierten Textbaustein verstecken, kann es unter Umständen dazu führen, dass solche Versteckspiele vom AntiVirus für WordPress als Infekt deklariert werden. Das ist aber weniger ein Fehler in der Funktionsweise des Plugin.
  • Allgemein gilt: Das Tool hat die eindeutige Aufgabe Dateien zu analysieren und auf verdächtige Codezeilen hinzuweisen. Der Befund muss daher nicht zwangsläufig zum Bestandteil eines vorhandenen Wurms oder Virus gehören (siehe auch vorigen Punkt). Die Wahrscheinlichkeit variiert je nach Komplexität und Umfang des eingesetzten Theme.
  • Das AntiVirus-Plugin ist kostenfrei und frei zugänglich. Der Quelltext der Erweiterung kann von jedem angesehen und ausgewertet, der Schadcode entsprechend angepasst werden – der Feind hört bzw. liest mit.
  • Keine Codefragmente werden gelöscht oder in die virtuelle Quarantäne befördert. Die verdächtige Codezeile wird nach dem Prüfvorgang eingeblendet und die Stelle optisch hervorgehoben.
  • Es wird keine Garantie auf Vollständigkeit, Aktualisierung und Prüfungsgründlichkeit übernommen.

Schon gewusst?
AntiVirus für WordPress verfügt über eine eigene Produktseite: wpAntiVirus.de


Versionsverlauf

Version 1.3.6 vom 13.06.2014

  • Code-Überarbeitung & Datenvalidierung

Version 1.3.5 vom 12.12.2013

  • Support für WordPress 3.8

Version 1.3.4 vom 07.05.2013

Version 1.3.1 vom 12.6.2012

  • Kompatibilität zu WordPress 3.4
  • Systemanforderungen: Von PHP 5.0 auf PHP 5.1
  • HiDPI-Icon für Retina-Displays
  • Entfernung des Icons aus der Sidebar

Version 1.3 vom 23.12.2011

Version 1.2 vom 05.12.2011

  • Bei Virusverdacht Hinweis in der Adminbar
  • Genauere Prüfung auf Malware per iFrame
  • Korrektur des Links (Dashboard) zu den Einstellungen
  • Technische Anpassungen für WordPress 3.3

Version 1.1 vom 17.08.2011

  • Prüfung auf Theme-Templates mit leerem Inhalt
  • Code-Verbesserungen für mehr Performance
  • Mindestvoraussetzung auf 2.8 hochgestuft
  • Minimale GUI-Überarbeitung

Version 1.0 vom 17.12.2010

  • Zusätzliche Sicherheitsabfragen für E-Mail und RegExp

Version 0.9 vom 27.10.2010

  • Erkennung des aktuellen WordPress-Wurms

Version 0.8 vom 20.05.2010

  • Unterstützung von WordPress 3.0
  • Umstellung der Mindestvoraussetzung auf WordPress 2.7
  • Auslagerung von JavaScript und Stylesheets in eigenständige Dateien
  • Weitgehende Überarbeitung und Modernisierung des Plugin-Cores

Version 0.7 vom 16.04.2010

  • Erweiterte Prüfung des Schadcodes in Templates

Version 0.6 vom 20.12.2009

  • Unterstützung von WordPress 2.9

Version 0.5 vom 08.09.2009

  • Erkennung des aktuellen Wurms mit angelegter Permalink-Hintertür
  • Optimierung der manuellen Prüfung (JavaScript & CSS)
  • Handvoll Verbesserungen optischer Natur

Version 0.4 vom 25.06.2009

  • Unterstützung des neuen WordPress-Standards für readme.txt-Dateien (Changelog als eigenständiger Tab)
  • Tiefgehende Umstrukturierungen im Code für steigende Performance, Usability und Sicherheit

Version 0.3 vom 18.06.2009

  • Eingabe einer alternativen E-Mail-Adresse
    (E-Mail-Adresse des Blog-Administrators als Fallback)
  • Hinweis auf dem Dashboard bei Infektionsverdacht
  • Erweiterung der Attention-E-Mail um die URL des Blogs
  • Umfangreiche Modifizierungen für die Unterstützung von WordPress 2.8
  • Beseitigung des IE-Bugs mit abgeschnittener Detail-Beschreibung
  • Zusätzliche Prüfung auf versteckte iFrames
  • Verfeinerungen im Code
  • Produktseite für AntiVirus online gestellt
  • Persische Lokalisierung

Versionsverlauf
Version 0.2 vom 28.02.2009

  • Whitelist: Manuelle Markierung der Treffer als Kein Virus
  • Verbesserung der Ausgabeformatierung
  • Erweiterung des Code um eigene Options-Bibliothek
  • Italienische Lokalisierung

Version 0.1 vom 25.02.2009

  • AntiVirus für WordPress geht online
Sergej Müller

[Der Autor]Sergej Müller ist enthusiastischer Software Engineer mit Schwerpunkten Webentwicklung, Apps und WordPress. Seit 2007 programmiert und vertreibt er wpSEO, das zugkräftige SEO-Plugin für WordPress-Blogs.

Thematisch ähnliche Beiträge