Ist WordPress undicht?
31. August 2007 – 21:00 Uhr
Und gibt irgendwie interne E-Mailadressen preis?
Wieso bekomme ich Spam an die interne Blog-E-Mailadresse, dich eigentlich nirgendwo zu sehen, geschweige denn auszulesen sein dürfte? Ich meine diese Adresse unter ›Allgemeine Einstellungen‹, die WordPress für ›administrative Zwecke‹ verwendet.
Nachdem das kurz nach Umstieg auf die neue Version einmal passierte, dachte ich noch an einen Zufall. Die Adresse war eher einfach gestrickt und hätte durchaus als so etwas wie eine ›Standardadresse‹ auf dieser Domain erraten werden können.
Es gibt sie ja wohl wirklich, diese Spam-Blindattacken an Standards wie z.B. admin@domainname.de, webmaster@, postmaster@ usw.
Also änderte ich diese Adresse vorsichtshalber in eine Form, die mit mehr als ausreichend großer Sicherheit kein Spam-Mechanismus erraten wird.
Und jetzt spaziert mir hier munter eine freche Spam-Mail (für Pillen) herein!
Wird diese interne Adresse eventuell bei irgendwelchen Antwortseiten auf Fehlermeldungen verraten?
Immerhin, ich hatte kürzlich mit einigen Tagen Distanz zwei Kommentarspam-Versuche im Akismet-Netz hängen, die wie Fehl- oder Testversuche aussahen, mit dem Text »enter text? test, sorry dfdf767df« und mit einem nicht existierenden Domainnamen verlinkt. Aber Akismet meldet ja gar nichts zurück, es arbeitet doch nur still im Hintergrund. Ein anderes Plugin vielleicht?
Falls jemand eine Idee hat, wo das Leck zu finden sein könnte, gleich hier melden. Ich gehe jetzt mal selbst forschen und werde mich zu gegebener Zeit an dieser Stelle in Sachen Aufklärung äußern …
Update am 17. September 2007:
Nach diesem Artikel hatte ich die bloginterne Adresse gegen eine neue ausgetauscht. Heute trudelt die erste Spam-Mail an die neue Adresse herein! Warum? Wie? Was?
Dieser Inhalt (Textbeitrag und Fotos) ist unter einer Creative-Commons-Lizenz BY-NC-ND lizenziert.
Im Autohaus wird...
Dir auch einen guten Rutsch! Hokey
Am 29. September 2007 um 01:47 Uhr
Oh, danke für den Hinweis. Da ich in den letzten Tagen mit ganz anderen Schwächen in WP beschäftigt war, blieb meine Durchsicht der Sourcen an dieser Stelle etwas “nachlässig” — aber die Erfahrung einer solchen Spam ist schon etwas zu systematisch für einen Zufall.
Weiß der Geier, unter welchen Konstellationen diese Mailadresse nach draußen dringt.
Möglichkeit 1 ist es, dass Angreifer einen Weg gefunden haben, Abfragen auf die Datenbank loszulassen, dass also irgendwo noch eine SQL-Injection möglich ist. (Solche Bugs sind höllisch schwer zu finden, aber kinderleicht auszunutzen.) Die Mailadresse würde sich in der config-Tabelle befinden.
Möglichkeit 2 ist es, dass WordPress diese Mailadresse preisgibt. Angesichts der Tatsache, dass sich mit Hilfe dieser Adresse sogar Phishing-Attacken fahren lassen (man glaubt ja, eine Mail aus seinem Blog zu erhalten, wenn man sie unter einer eigens eingerichteten Adresse kriegt), ist das ein ziemlich großes Sicherheitsproblem.
Ich werde leider in den nächsten Tagen nicht dazu kommen, einen Eintrag in den WordPress-Trac zu machen — aber jemand sollte es tun. Am besten ist es, wenn sich die Entwickler selbst mit diesem potenziellen Sicherheitsloch beschäftigen, da die am ehesten gelehrte Mutmaßungen über die Lücke anstellen könnten. Ob ich das in den nächsten Wochen überhaupt finde, halte ich eher für fraglich.
Am 8. Oktober 2007 um 23:02 Uhr
Hmmmm – wenn WP Mails verschickt sollte man das ja auf dem Server nachhalten und identifizieren können. Ich werde mal genauer auf meine ausgehenden Verbindungen achten!