Cross Site Scripting in Drittanbieterformular

vonGabriele Lässer 30. Oktober 2015

Google sperrte eine Artikelseite eines Online-Magazins wegen Malware. Beim Scannen der WordPress-Dateien mit verschiedenen Tools wurde jedoch nichts Verdächtiges gefunden.

Failed to execute ‚write‘ on ‚Document‘: It isn’t possible to write into a document from an asynchronously-loaded external script unless it is explicitly opened.

Diese in der Chrome Console angezeigte Meldung führte mich schließlich zum Schadcode. Betroffen vom Cross Site Scripting war keine WordPress-Datei, sondern das Newsletterformular eines Drittanbieters (keiner der üblichen, schien handgestrickt und auch schon älter zu sein), das über einen Iframe eingebunden worden war.

Sicherheit | WordPress | WP-Plugins

WordPress-Sicherheitsrisiko durch veraltete Plugins

vonGabriele Lässer 1. September 2016

Ein Website-Betreiber macht alles was ihm empfohlen wurde, verwendet unter anderem schwierige Passwörter und veranlasst sämtliche Updates die WordPress ihm meldet. Und doch, eines schönen Tages erwischt ihn ein Hack. Grund dafür kann eine unsichere Komponente sein, deren Sicherheitslücken nie gestopft worden sind. Zum Beispiel verwendet er vielleicht ein Statistik-Plugin, das seit er es installierte,…

Sicherheit | WordPress | WP-Plugins

WordPress Daten und Dateien – was sollte man unbedingt sichern?

vonGabriele Lässer 27. Juni 201629. Januar 2019

Der Hinweis auf eine neue WordPress-Version ist immer auch mit der Empfehlung verbunden, vorher unbedingt Backups seiner Datenbank und Dateien vorzunehmen. Auch wenn WordPress-Updates meistens problemlos über die Bühne gehen, das Thema Backup kann man nur dann ausklammern, wenn der Verlust sämtlicher Daten und Arbeit die man in seine Website investierte, verschmerzbar ist. – Das…

Kunden und Leser | Sicherheit

WordPress: Wie kann ich das Sicherheitsrisiko admin (ID#1) loswerden?

vonGabriele Lässer 27. Februar 2015

Der Site-Administrator namens admin wurde früher bei WordPress-Installationen automatisch als Standard-User mit der ID #1 erzeugt, und später noch eine Weile vorgeschlagen, als man den Namen bereits frei wählen konnte. Aus Sicherheitsgründen muss heute bei der frischen Installation einer aktuellen WordPress-Version ein Administrator-Name definiert werden. Aber es gibt noch zahlreiche WordPress-Sites in denen admin der…

Kunden und Leser | Sicherheit

Wie ändert man die Admin-E-Mail-Adresse in WordPress, ohne dass sie bestätigt werden muss?

vonGabriele Lässer 6. September 20186. Februar 2019

Es ist üblich und sinnvoll, dass man ein neues WordPress unter der E-Mail-Adresse installiert, die man selbst benutzt. Gleich nach der Installation gehen E-Mails ein. Das stellt auch gleich die Gewissheit her, dass wp_mail() in der gewählten Umgebung funktioniert. Die E-Mail-Adresse des Erstuseres ist nicht nur die E-Mail-Adresse des Benutzers, sondern wird auch als Admin-E-Mail…

Kunden und Leser | Sicherheit

Lohnt sich die Umstellung meiner Website auf https?

vonGabriele Lässer 19. Juli 2016

Kurze Antwort: ja Hintergründe In den letzten Monaten habe ich mehrere Sites auf https:// umgestellt, und neue Websites, sofern ein Zertifikat verfügbar war, gleich so installiert. Ungefähr zu der Zeit als SSL/TLS-Verschlüsselung zum Bewertungsfaktor bei Google wurde, entstand Let’s Encrypt. Dieser für alle freie Dienst wird mittlerweile von vielen Webhostern direkt unterstützt, und ist dann…

Sicherheit | Webserver

Access denied by security policy

vonGabriele Lässer 1. August 201316. Oktober 2020

Neulich wollte ich einen schon etwas älteren Artikel ergänzen, was daran scheiterte, dass mir das Speichern aus Sicherheitsgründen untersagt wurde. Nachdem ein Kunde dasselbe Problem mit einem anderen System (Wiki) hatte, untersuchte ich die Hintergründe näher. Dabei stellte sich heraus, dass sicherheitsrelevante PHP-Funktionsnamen wie fopen nicht mehr in der originalen Schreibweise in einem Post erwähnt…

weiter schmökern

Schreibe einen Kommentar Antworten abbrechen