Feed auf
Postings
Kommentare

Wie mehrere Quellen heute berichten, läuft im Moment eine groß angelegte Attacke auf WordPress-Installationen, an denen um die 90.000 Rechner beteiligt sein sollen.

Als jemand, der WordPress-Installationen beruflich betreut, beobachte ich aber nicht erst in jüngster Zeit einen starken Anstieg der Angriffe auf WordPress und Kompromittierungen dieser Software. Die Probleme nehmen bereits seit gut zwei Jahren stetig zu. Dabei geht es aber nicht nur um die Kompromittierung des Logins. Auch Schwachstellen in Plugins, Themes oder im WordPress-Core sind vermehrt Ziel von Angriffen. Und nicht selten gelingen sie. Oft dienen die kompromittierten WordPress-Installationen dann wiederum als Quelle für Schadsoftware, für Phishing-Sites oder zum Versenden von Spam.

Dass diese Probleme in den letzten beiden Jahren so massiv zugenommen haben, kommt nicht von ungefähr. WordPress erfreut sich immer größerer Beliebtheit, weil es sich um ein sehr einfach zu bedienendes und vor allem durch Plugins sehr leicht zu erweiterndes Blog- und Content-Management-System handelt. Aber hier liegt auch der Hase im Pfeffer. Insbesondere Plugins – aber auch der WordPress-Core und gelegentlich auch Themes – enthalten oft Sicherheitslücken.

Auf der anderen Seite erlebe ich es sehr häufig, dass WordPress-Installationen nicht gewartet werden. Core, Plugins und Themes werden nicht upgedatet. Das führt dann natürlich fast so sicher wie das Amen in der Kirche zu Kompromittierungen.

Man sollte jedoch nicht glauben, dass dieses Problem WordPress-spezifisch ist. Auch andere Websoftware wie phpBB oder Joomla! ist immer häufiger Ziel solcher Attacken. Und immer häufiger kommt es auch dort zu Kompromittierungen, weil die Software nicht gewartet wird.

Wir haben es hier also mit einem grundsätzlichen Problem zu tun, das typisch für das ist, was landläufig Web 2.0 oder Mitmach-Web genannt wird. Charakteristisch für das Mitmach-Web ist, dass nicht mehr, wie früher, statische Websites, die lediglich aus HTML und CSS bestanden, erstellt werden, sondern komplexe Webanwendungen zum Einsatz kommen, die es ermöglichen, laufend eigenen Content zu erstellen und Besuchern die Möglichkeit geben, mit dem Seitenbetreiber zu interagieren, etwa in Blogs.

Mit dem Einsatz dieser komplexen Webanwendungen steigt aber auch der Wartungsaufwand für den Seitenbetreiber selbst. Statische Websites, die nur aus HTML und CSS bestehen, sind kaum kompromittierbar, wenn nicht der Server selbst Sicherheitslücken enthält – wobei ich Dinge wie schwache FTP-Passwörter hier mal außer Acht lasse. Und dafür ist der Webhoster zuständig und nicht der Seitenbetreiber selbst. Es ist der Job des Webhosters, die Serversoftware sicher und aktuell zu halten, und er sollte was davon verstehen.

Sobald aber Scriptsprachen wie PHP, Perl, Python usw. zum Einsatz kommen, ändert sich die Situation fundamental. Denn Webanwendungen, die in diesen Sprachen geschrieben sind, können Sicherheitslücken enthalten. Und dafür, die installierte Webanwendung sicher und aktuell zu halten, ist in der Regel nicht der Hoster zuständig, sondern der Webseitenbetreiber selbst. Und da fängt das Problem an. Denn offensichtlich hat sich dieses Bewusstsein bei Webseitenbetreibern noch nicht durchgesetzt, sonst gäbe es nicht so viele Installationen von Webanwendungen, die nicht gewartet sind.

Dafür kann es natürlich mehrere Gründe geben. So kann ich mir vorstellen, dass viele Betreiber von Webanwendungen gar nicht wissen, dass sie sich regelmäßig darum kümmern müssen, und einfach davon ausgehen, dass eine Webanwendung wie eine statische Website ewig ohne Wartung laufen kann. Andere wiederum wissen das vielleicht schon, kümmern sich aber nicht darum, weil sie sich überfordert fühlen oder Angst haben, etwas kaputt zu machen. Derlei Befürchtungen kommen mir jedenfalls nicht selten zu Ohren, wenn ich Menschen auf ihre veralteten Webanwendungen anspreche.

Was kann man nun dagegen tun? Im Prinzip sehe ich nur zwei Möglichkeiten. Webseitenbetreiber, die eine Webanwendung einsetzen, müssen entweder lernen, diese zu warten und es auch dann stetig selbst tun – oder sie müssen jemanden damit beauftragen, der was davon versteht.

Und damit sind wir beim nächsten Problem. Beides ist mit Kosten verbunden. Die erste Variante kostet Zeit, und das gleich in doppelter Hinsicht. Es kostet Zeit, sich die Fertigkeiten anzueignen, und es kostet dauerhaft Zeit, die Wartung selbst durchzuführen. Auf der anderen Seite kostet es zwar keine Zeit, dafür aber Geld, andere mit der Wartung zu beauftragen.

Das Mitmach-Web wäre meiner Meinung nach noch zu retten, wenn möglichst alle Webseitenbetreiber möglichst sofort bereit wären, diese Kosten in Kauf zu nehmen. Leider ist mein Eindruck jedoch, dass dem nicht so ist. Insbesondere Betreiber privater Websites und Blogs wollen weder den Zeitaufwand für die Wartung, noch die Kosten in Kauf nehmen, die entstehen, wenn sie jemanden damit beauftragen.

Was bleibt dann noch? Letztlich bleibt Webseitenbetreibern nur noch, ihren Content bei Drittanbietern wie wordpress.com unterzubringen. Hier erlebe ich jedoch vielmehr den umgekehrten Trend, nämlich dass mittlerweile viele User von wordpress.com auf ein selbstgehostetes WordPress umsteigen, weil sie bei wordpress.com Geld für Features bezahlen müssten, die sie in eigener eigenen Installation kostenlos bekommen. Und schon geht das Problem von vorne los. Und natürlich wird das nicht in allen Fällen funktionieren, denn Angebote wie wordpress.com gibt es für andere CMS wie Joomla! nicht.

Alles in allem komme ich deshalb zu dem Schluss, dass das Mitmach-Web in höchster Gefahr oder vielleicht sogar schon am Ende ist. Wenn Hoster angesichts derart gewaltiger Angriffswellen bald massenweise Websites sperren werden, weil sie kompromittiert wurden und die Betreiber nicht in der Lage sind, das Problem zu beheben – und das werden sie tun – war’s das mit dem Traum vom Mitmach-Web unter eigener Regie. Es bleiben die übrig, die in der Lage und willens sind, ihre Webanwendungen selbst zu warten oder das entsprechende Geld dafür auszugeben. Und das werden nicht viele sein.

Flattr this!

2 Kommentare auf “Das Mitmach-Web ist in Gefahr”

  1. Ziemlich düstere Prognose. Allerdings wächst da gerade eine Generation heran, die sich durchaus auch der Gefahren bei Webanwendungen bewußt ist. Das sind halt nur noch nicht alle, die bloggen. Und vielleicht sind unsere Schulen ja auch irgendwann mal soweit, daß nicht mehr „Informatik“ unterrichtet wird, sondern „Medienkompetenz“ (incl. Wissen über Sicherheit im Netz). Mit Lehrern, die wissen, wovon sie reden.

    Derzeit gehen Spammer und Angreifer halt auf die Blogs, weil das Medium E-Mail für sie ausgelutscht ist. Ich sehe jedenfalls einen deutlichen Rückgang beim Mailspam, während die Menge der Spamkommentare in meinen bzw. von mir betreuten Blogs rasant ansteigt. Ungefiltert habe ich auf meinem Mailserver (Hauptdomain) vielleicht noch 5 – 10 Spams am Tag, während das ungefilterte Blog unter derselben Domain kürzlich noch 200 Spamkommentare pro 24 Stunden einsammelte; mittlerweile blocke ich wieder regelmäßig auffällige IP-Bereiche und bin damit immer noch bei rund 40 bis 50 Spamkommentaren pro 24 Stunden.

    Spammer sind, netztechnisch gesehen, Parasiten: Sie mißbrauchen fremde Infrastruktur und Dienste ohne Rücksicht auf Verluste. Es stört sie auch nicht, wenn eine Infrastruktur oder ein Dienst dabei „stirbt“, denn es gibt ja noch genug Auswahl. Ich frag mich manchmal, was das für Leute sind, die sich derart rücksichtslos und kriminell verhalten. Manche mögen verzweifelt sein, weil sie keine andere Chance sehen (siehe „Nigeria-Connection“), aber bei anderen ist es wohl die reine Gier.

    Traurig ist, daß es noch so viele Hoster und Provider gibt, die sich an Beschwerden nicht stören oder Spammer sogar aktiv unterstützen; offenbar sind Spammer so reich, daß man als Hoster damit gut verdienen kann. Auch noch was für die Statistik: Der Anteil an Dialins (Zombies, also mit Viren befallene, meist private PCs) scheint wieder abzunehmen; Server-IPs, die eine Zeitlang eher die Ausnahme waren, sind jetzt wieder mit mindestens der Hälfte aller Spam-Einlieferer gut dabei. Und die Hoster schauen oft untätig zu (sofern es überhaupt eine Beschwerdeadresse gibt, an die man sich wenden kann, und diese nicht falsch, falsch konfiguriert oder voll ist). An dieser Stelle halte ich es für sinnvoll, solche Hoster anzuprangern und Kunden, die einen Hoster suchen, klarzumachen, daß sie da nicht hosten wollen, um nicht mit Spammern in einen Topf geworfen zu werden. Auch wenn’s „billiger“ ist.

  2. Alex Schestag sagt:

    Ja, eine düstere Prognose. Ich hoffe mal, dass ich Unrecht habe. Aber dann muss sich fundamental etwas ändern. Deine Beobachtung, dass wieder vermehrt Server Spam einliefern, deckt sich ja mit den Aussagen aus dem verlinkten Artikel, dass zu befürchten steht, dass das Botnet derzeit noch hauptsächlich aus Dialins besteht, aber bald durch mehr Server unterstützt wird. Und das geht genau in die Richtung, die ich befürchte…

Kommentar abgeben