Die kostenlose Blog-Software WordPress gehört zu den beliebtesten Anwendungen im Web. Selbst wir bei GoDaddy nutzen WordPress für unser Blog. Aufgrund seiner enormen Beliebtheit wird das Blog aber auch immer wieder Angriffsziel von Hackern. Eine neue Angriffsmethode nutzt eine Standard-Funktion von WordPress um andere WordPress-Installationen anzugreifen. Wie sich vor diesem neuen Angriff schützen, lesen Sie in diesem Beitrag.
Was ist ein Pingback?
Pingbacks dienen der gegenseitigen Vernetzung von ähnlichen Artikeln und natürlich der Blogs selbst. Als Pingback bezeichnet man eine Benachrichtigung, die ein Blogger automatisch dann erhält, wenn auf ein Thema bzw. ein Beitrag in seines Weblog verlinkt wird. Als Autor kannst du so sehr einfach nachverfolgen, wer auf deine Seiten verweist oder entsprechend Auszüge aus einem deiner Artikel zitiert. Außerdem erhältst eine Information zum anderen Artikel (inkl. URL) und kannst diesen lesen und sehen, in welchem Zusammenhang auf deinen Beitrag verwiesen wurde und gegebenenfalls selbst einen Kommentar schreiben.
Pingbacks und Trackbacks - Was ist der Unterschied?
Trackbacks funktionieren praktisch auf die gleiche Weise wie Pingbacks, allerdings in umgekehrte Richtung. Sie werden versendet, wenn du aus deinem eigenen Blog z. B. auf einen Artikel eines anderen Blogs Bezug nehmen möchtest. Natürlich solltest du diesen Artikel verlinken. Trackbacks sind für andere Blogger das Signal, das ihre eigenen Beiträge verlinkt wurden.
Pingbacks und Trackbacks benutzen die XML-RPC-Schnittstelle. Im Hauptverzeichnis deiner WordPress-Installation findest du die Datei "xmlpc.php", die bei aktuellen WordPress-Versionen in der Standardeinstellung aktiviert ist. Und das kann eine gefährliche Schwachstelle sein.
Missbrauch der Pingback-Funktion: So funktioniert der Angriff
Die Pingback-Funktion von WordPress dient eigentlich dazu, eine andere Website darüber zu informieren, wenn auf einen Artikel verwiesen wird. Laut dem Sicherheitsexperten Sucuri nutzen Angreifer genau diese Funktion aus. Sie senden massenhaft an unterschiedliche WordPress-Blogs einen gefälschten Pingback-Request, der als Quelle die Adresse des Opfers enthält. Das empfangene WordPress-Blog fragt nach Erhalt des Request bei der Zielseite den Beitrag nach. Geschieht dies von tausenden Seiten parallel, wird so der Server der Zielseite überlastet (DDos-Angriff). Genau ein solches Szenario haben die Sicherheitsexperten von Sucuri beobachtet: In einem Angriff wurden mehr als 162.000 verschiedene Blog-Instanzen ausgenutzt, um eine Zielseite zu überlasen (Details unter: http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html).
Die besten Tipps zum Schutz: Wie Du die Pingback-Funktion deaktivierst
Eigentlich ist die Pingback-Funktion eine hilfreiche Unterstützung, um Verlinkungen Ihrer Artikel zu sammeln. Wenn Sie die Funktion jedoch nicht benötigen, empfehlen wir Ihnen diese zu deaktivieren. So können sie nicht zu einem gefährlichen Bot in dem oben beschriebenen Angriffsszenario werden. Für die Deaktivierung der Pingback-Funktion hast du zwei Möglichkeiten:
Deaktivierung von Pingbacks und Trackbacks über das Dashboard von WordPress
Im Menü "Einstellungen" findest du das Untermenü "Diskussion". Entferne dort unter "Standardeinstellungen für Beiträge" einfach die beiden obersten Häkchen und klicke auf "Änderungen übernehmen".
Installiere das Plugin „XML-RPC Pingback
Eine professionelle Lösung bietet dir das kostenlose Plugin „XML-RPC Pingback“. Das Plugin stoppt den Missbrauch der XML-RPC-Funktion deiner Website, indem es einfach die Einstellungen entfernt, die von Angreifern verwendet werden. Während du weiterhin XML-RPC-Funktionen verwenden kannst, die von einige Plugins und Apps (z. B. con Mobile Apps oder Jetpack-Module) benötigt werden.
Das Plugin kannst du unter folgender URL herunterladen: http://wordpress.org/plugins/disable-xml-rpc-pingback/
Eine leistungsstarke und sichere Hosting-Plattform für deinen WordPress-Blog findest du hier: Geh online mit einer WordPress-Website von GoDaddy
Bildnachweis: Fotolia, Lizenz: GoDaddy
