Dokumentation

Sicherheit in WordPress: Das erste AntiVirus-Plugin für WordPress

Weltweit erstes AntiVirus-Plugin für WordPress schützt nachhaltig und effizient vor eingeschleuster Malware im Blog. Mit täglichem Check.

WordPress ist nichts anderes als ein Stück Software, sehr verbreiteter Software. Bedauerlicherweise ist “Software” auch dafür bekannt, Lücken und Löcher aufzuweisen oder mit Viren und Würmern infiziert zu werden. Das Thema ist unangenehm und kann fatale Folgen haben. Im Nachhinein ist man immer schlauer, sagt man sich. AntiVirus für WordPress überwacht den Blog im Live-Betrieb.

Funktionen

Warum ausgerechnet AntiVirus für WordPress? Einige Gründe sprechen dafür:

  • … berücksichtigt Warnungen von Google Safe Browsing.
  • … erhöht die Sicherheit des Blogs und warnt vor eingeschleusten Schädlingen.
  • … kostet kein Geld.
  • … beeinträchtig die Ausführungszeiten des Blog nicht im Geringsten.
  • … informiert auf Wunsch per E-Mail über den eingeschleusten Virus.
  • … kann händisch per Klick oder automatisiert ausgeführt werden.
  • … sendet keinerlei Daten oder Informationen ins Netz.
  • … lässt ausgegebene Codepassagen auf eine Whitelist setzen.

Funktionsweise

Injections, Exploits, Viren, Malware, Hacks – ein gemeinsamer Nenner: Hinterhältig eingeschleuster Code. Und dieser Code hat nur eine einzige Aufgabe als Ziel gesetzt bekommen: Ausgeführt zu werden!

Durch ausgetrickste Techniken wird jede nur erdenkliche Möglichkeit genutzt, den implantierten Code und die ausgeführte Tätigkeit samt Resultaten unkenntlich zu machen – die Trickkiste der Angreifer ist bodenlos und vielfältig. Als Blogger hat man es außergewöhnlich schwer: Wird man ungewollt zum Opfer einer Attacke, so bekommt man die schwerwiegende Infizierung und die fiese Ausnutzung des Blogs nicht immer zeitnah mit.

Kaum ein Blogbetreiber inspiziert den Quelltext seiner Seiten in regelmäßigen Zeitabschnitten, um eventuell automatisch eingefügte, aber nicht selten ausgeblendete Links zu Erotik- und Casino-Seiten zu lokalisieren. Auch die Templates auf dem FTP-Server werden kaum bis nie einer optischen Kontrolle unterzogen – ist eine Datei vom Virus befallen, würde die Modifizierung durch Dritte erst eine Zeit später auffallen, wenn überhaupt.

Zusammengefasst: Eingeschleuste Schädlinge verstecken sich und ihre Arbeit. Dadurch agieren sie über eine längere Zeitspanne unentdeckt und ungestört. Dadurch richten sie gewaltigen Schaden an.

Frühwarnsystem für WordPress

Nun gut, die Tragödie ist geschildert und verstanden: Der Schaden wäre enorm, wenn nicht sofort nach dem Eingriff bzw. Angriff reagiert wird. Doch wie aktiv werden, wenn man als Blogbetreiber von der getätigten Infektion nichts mitkriegt – schließlich kündigt sich die Aktion nicht an? Genau bei diesem Problem leistet das erste AntiViren-Plugin für WordPress eine grandiose und unerlässliche Hilfe: AntiVirus für WordPress prüft relevante Template-Dateien auf möglicherweise injizierten Code. Wahlweise manuell oder automatisch im Hintergrund.

Nach dem Aktivieren des AntiVirus für WordPress lässt sich die Funktionalität des Plugins in Anspruch nehmen. Die unter Einstellungen verfügbare Checkbox schaltet automatische Kontrollabläufe scharf: Einmal täglich werden Templates des verwendeten WordPress-Theme auf bösartige Abschnitte gescannt, bei Verdacht bekommt der Administrator des Blogs eine Benachrichtigung per E-Mail zugeschickt. Alternativ kann eine beliebige E-Mail-Adresse hinterlassen werden.

Einstellungen für die automatische Prüfung in AntiVirus für WordPress

Manuelle Prüfung

Die händisch angestoßene Untersuchung liest alle Theme-Dateien sofort ein und wertet den Inhalt gleichzeitig aus. Das Ergebnis ist eine Liste an Dateien, die dem Check unterzogen worden sind. Bei der Ausgabe spielen Farben eine bedeutende, jedoch selbsterklärende Rolle: Grün steht für “Datei ohne Befund”, Rot signalisiert eine Warnung, wobei die Verdachtsstelle inmitten der Zeile gelb hervorgehoben wird.

Ist man sich sicher, dass eine Zeile definitiv keine Gefahr darstellt, kann sie per Klick auf “Ausblenden” stumm geschaltet werden. Bei nächster (automatischer oder manueller) Prüfung wird diese Stelle im Code übersprungen.

Manueller Scan der WordPress Theme Dateien

Checksum Verification

Seit Version 1.4.0 hat das Plugin die Funktionalität von Checksum Verifier (ein eingestelltes Plugin, welches die selben Prüfungen ausgeführt hat) integriert. Diese Funktion prüft alle WordPress Core Dateien gegen eine Liste wohlbekannter Prüfsummen. Weiche die Prüfsumme einer Datei ab, ist das ein Indikator dafür, dass diese Datei manipuliert wurde (oder aus anderen Gründen fehlerhaft ist) und eine entsprechende Warnung wird erzeugt.

Google Safe Browsing

Seit Version 1.3.4 verfügt das Plugin über eine wertvolle Möglichkeit, auf den Datenbestand von Google Safe Browsing zurückgreifen zu können. Sobald Google der Meinung ist, die Website wurde von einem Infekt befallen und stellt eine Gefahr dar, bekommt das AntiVirus-Plugin es mit und benachrichtigt den Blog-Administrator per E-Mail. Die E-Mail beinhaltet einen Link zur Google Safe Browsing Diagnoseseite mit weiterführenden Informationen.

Dieses Feature erfordert einen eigenen API Schlüssel, welcher in den meisten Fällen kostenfrei erstellt werden kann. Wenn du dir nicht sicher bist, wie dies funktioniert, wirf einen Blick in Googles API Schlüssel Dokumentation.

Technische Details

Das AntiVirus-Plugin durchsucht aktive Templates nach Blöcken, die auf einen via Code-Injektion initialisierten Virus hindeuten können. In der Regel sind es Befehle für die Kodierung, Auswertung und Ausführung von Zeichenketten als PHP-Code. Auch Werte aus den Optionsfeldern der Datenbank werden herangezogen und analysiert.

Hinweise

  • Da zahlreiche Theme-Entwickler ihre Copyright-Hinweise im kodierten Textbaustein verstecken, kann es unter Umständen dazu führen, dass solche Versteckspiele vom AntiVirus für WordPress Plugin als Infekt deklariert werden. Das ist aber weniger ein Fehler in der Funktionsweise des Plugin.
  • Allgemein gilt: Das Tool hat die eindeutige Aufgabe Dateien zu analysieren und auf verdächtige Codezeilen hinzuweisen. Der Befund muss daher nicht zwangsläufig zum Bestandteil eines vorhandenen Wurms oder Virus gehören (siehe auch vorigen Punkt). Die Wahrscheinlichkeit variiert je nach Komplexität und Umfang des eingesetzten Theme.
  • Das AntiVirus-Plugin ist kostenfrei und frei zugänglich. Der Quelltext der Erweiterung kann von jedem angesehen und ausgewertet, der Schadcode entsprechend angepasst werden – der Feind hört bzw. liest mit.
  • Keine Codefragmente werden gelöscht oder in die virtuelle Quarantäne befördert. Die verdächtige Codezeile wird nach dem Prüfvorgang eingeblendet und die Stelle optisch hervorgehoben.
  • Es wird keine Garantie auf Vollständigkeit, Aktualisierung und Prüfungsgründlichkeit übernommen.

Unterstützung

Dass die professionelle und passionierte (Weiter)Entwicklung eines Plugins mit (Zeit)Aufwand verbunden ist, versteht sich von selbst und dürfte jedem Nutzer klar sein.

Lust die Weiterentwicklung von AntiVirus voranzutreiben?

Danke!