WordPress durchleuchten

Wer WordPress einrichtet läuft Gefahr etwas zu übersehen und potentiellen Angreifern damit das Leben leichter zu machen. Tools wie wpcheck helfen beim Aufspüren solcher kleiner Fehler.

In den vergangenen Jahren Monaten ist die Vielfalt an Kommandozeilen-Tools für WordPress geradezu explodiert. Sei es wp cli, mit dem ganze WordPress-Installationen über SSH verwaltet und gesteuert werden können oder kleine Helfer, die lokal installiert werden und Aufschluss über den Zustand einer WordPress-Instanz geben.

Schnelle Tests mit wpcheck

Von Sergej Müller – ja dem Sergej Müller – entwickelt, stellt wpcheck ein schlankes Tool für den schnellen WordPress-Sicherheitstest dar. Der Funktionsumfang von wpcheck ist schnell erklärt: einmal installiert lassen sich WordPress-Seiten mit einem einfachen Befehl auf eine ganze Reihe kleiner Unachtsamkeiten hin überprüfen.

Sei es die öffentliche Erreichbarkeit von Konfigurationsdateien, die Anfälligkeit für Full Path Disclosure oder die Möglichkeit für die Anmeldung eine SSL (TLS) Verschlüsselung zu nutzen. Zusätzlich zu diesen vorinstallierten Testregeln können eigene Regeln definiert und ausgeführt werden.

Installation und Nutzung

Für die Installation von wpcheck werden Node.js in Version 6 oder neuer sowie npm vorausgesetzt. Sind diese Voraussetzungen erfüllt, kann wpcheck mit dem folgenden Befehl installiert werden:

npm install --global wpcheck

Nach der erfolgreichen Installation ist wpcheck sofort zum Einsatz bereit:

wpcheck https://krautpress.de

Nun wird die angegebene Seite nach und nach den verschiedenen vordefinierten und selbst hinzugefügten Regeln folgend analysiert.

Check von krautpress.de mittels wpcheck
Durch farbliche Unterschiede lassen sich erfolgreiche Tests, Warnungen und Fehler direkt auf den ersten Blick unterscheiden.

Ein wichtiger Hinweis zum Schluss: wer bei einer schnellen Analyse gut abgeschnitten hat, sollte sich dennoch nicht in einem falschen Gefühl der Sicherheit wiegen. Sicherheitslücken in Core, Plugins und Themes werden von wpcheck (zumindest aktuell) nicht überprüft.

Hier greifen kompliziertere Tools wie wpscan, die aber ein gewisses Maß an Einarbeitung erfordern.

Was sind eure Kommandozeilen-Helfer für WordPress?

3 Kommentare

    1. Hej Kirsten,
      mit den FPD-Problemen hatte ich es bis jetzt noch nicht zu tun.
      Meine Hoster haben da offenbar alle schon ordentliche Gegenmaßnahmen ergriffen.

      Hast du gesehen, dass du das Snippet von Sergej anpassen musst, je nachdem ob du PHP 5.X oder PHP7 nutzt?
      Ansonsten würde ich mich da an deiner Stelle einfach mal an den Support des Hosters wenden, die sollten da im Zweifelsfall weiter wissen.

      1. Hallo, Simon,

        ja, das mit PHP 5 und 7 hab ich gesehen, hab extra nochmal geguckt, was läuft (5.6x natürlich).
        Okay, dann werd ich bei Gelegenheit mal den Hoster ansprechen.
        Danke Dir!

        Kirsten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.