WordPress: Ein Viertel des Internets ist anfällig für Manipulation, Datenraub und Spionage
Betriebssystem („content management system“) WordPress: Rat und Gegenmaßnahmen gegen „Black SEO“ (negative Beeinflussung anderer Webseiten gegenüber Google), flächendeckenden „Daten-Abbau“, Manipulation und Spionage.
Kurze Einleitung
Die Kernstruktur des Internets basiert auf Entwicklungen des Pentagon bzw dessen Forschungsabteilung D.A.R.P.A. und dem damit eng verwobenen „Massachusetts Institute of Technology“ ab Mitte der 60er Jahre.
Das World Wide Web (W.W.W.), was fast alle heute als das Internet begreifen, wurde durch einen einzigen britischen Wissenschaftler, Tim Berners-Lee, an der „Europäischen Organisation für Kernforschung“ C.E.R.N. erfunden und der Welt am 30. April 1993 geschenkt.
Ab 1997 expandierte das W.W.W. mit der Entwicklung von HTML4 enorm. Im November 2015 nutzten 3,3 Milliarden Menschen das Internet, fast alle davon das World Wide Web. 25 Prozent aller Webseiten wurden mit WordPress betrieben. Nur Monate später, im März 2016, sind es bereits 26 Prozent – fast 16 Millionen Webseiten. Bislang wurden 1,2 Milliarden Plugins von WordPress.org herunter geladen. Und der Anteil von WordPress am W.W.W. bzw Internet wächst weiter.
In 2003 wurde das Betriebssystem WordPress durch zwei Personen entwickelt, Matt Mullenweg und Mike Little. In 2005 gründete Matt Mullenweg die Firma Automattic. 2010 übertrug Matt Mullenweg die Verantwortung für die Entwicklung bzw Weiterentwicklung von WordPress von Automattic, das bis heute gerade einmal 440 Mitarbeiter hat, auf die WordPress Foundation.
Zugang zum Kern-Kode von WordPress, mit dem wie beschrieben über ein Viertel des von 3,3 Milliarden Menschen genutzten Internets betrieben wird, haben laut der leitenden WordPress-Entwicklerin Helen Hou-Sandi 35 Personen, von denen 22 nicht für Automattic arbeiten.
Sogar in der Berliner Republik hat sich, 47 Jahre nach den Verfassungsänderungen der „Notstandsgesetze“ und „Beschränkung“ von Brief-, Post- und Fernmeldegeheimnis, die Erkenntnis durchgesetzt, dass alles, was für Geheimdienste und staatliche Spione technisch machbar ist, von diesen auch gemacht wird.
Was würdet Ihr nun an deren Stelle tun?
Hier ein paar Beispiele, was Ihr an Eurer Stelle tun könnt.
Deaktivieren der „Heartbeat“ Schnittstelle
Mittels der ab August 2103 durch WordPress 3.6 implementierten Programmierschnittstelle („application programming interface“, API) mit der Kennung „Heartbeat“ interagiert WordPress alle 15 Sekunden mit dem Server.
Allein das WordPress Dashboard eine halbe Stunde lang im Browser geöffnet zu halten, kann 25 PHP Skriptbefehle erzeugen, wie dieser Researcher aufzeigt. Durch dieses „nach Hause telefonieren“ lassen sich im Falle des Falles z.B. Artikel wie dieser leicht vor Erscheinen auskundschaften bzw deren Entwicklung nachvollziehen. Weitere Möglichkeiten für externe Kräfte diese Funktion auszunutzen liegen auf der Hand.
„Heartbeat“ kann direkt in den WordPress Funktionen bzw Filtern deaktiviert werden, oder via Plugins wie Heartbeat Control. Eine weitere Möglichkeit: Über das Plugin Advanced Settings im Bedienfeld „Filters/actions“ alle „Heartbeat“-Funktionen deaktivieren.
Negatives SEO / Verlinkung von Spam-Seiten neutralisieren
Eine unserer Einschätzung nach seit Jahren angewendete Methode Webseiten im Google Ranking bzw in der Internet-Hierarchie zu drücken, sowie indirekt oder direkt die Besucherzahlen der anvisierten Zielseiten, ist die massenhafte Verlinkung dieser Seiten durch Spam-Seiten, die vielfach pornografischen Inhalt haben.
Das diesbezüglich von Google viel zu spät angebotene und praktisch kaum anwendbare „Disavow“-Tool ist für die Allermeisten keine Hilfe.
Praktikabel dagegen ist, alle entsprechenden Spam-Domains erst zu identifizieren und dann zu blockieren. Praktisch geht das z.B. über die relativ neue „Bad Bot Blocker“-Funktion vom Plugin All in One SEO. Unter „Feature Manager“ den „Bad Bot Blocker“ aktivieren, dort die entsprechenden Häkchen setzen, dann Häkchen bei „Use Custom Blocklists“ und schließlich bei „Referer Blocklist“ unter die bereits vorhandenen Domains eine aktuelle Liste mit Domains setzen, die ihr blocken wollt. Eine aktualisierte Liste mit Spam Domains findet Ihr z.B. hier.
Durchleuchtung und Sabotage durch massenhafte Datenabfrage sowie 404 Fehler-Aufrufe neutralisieren
Ein Weg Webseiten zu durchleuchten, ihre Inhalte etwa im Zuge von „Daten-Abbau“ („Data Mining“) automatisiert zu erfassen, anschließend aufbereitet zu verkaufen und / oder gleichzeitig die Zielseite, von der die Daten entnommen wurden, zu sabotieren und kleinzuhalten, ist die massenhafte Daten-Abfrage, u.a. über 404 HTTP Fehler-Aufrufe („nicht gefunden“). Auch sind im Internet mittlerweile eine enorme Zahl von Skripten aktiv, die sich auch als Google Bot tarnen.
Um dies zu neutralisieren und gleichzeitig den Google Bot unberührt zu lassen, empfiehlt sich das Plugin Wordfence Security. Es gilt dieses genau und vorsichtig zu konfigurieren.
Wir empfehlen, in den Einstellungen bei
„If a crawler‘s pages not found (404s) exceed“
„If a human‘s pages not found (404s) exceed:“
„If 404‘s for known vulnerable URL‘s exceed:“
jeweils nur 10 Aufrufe pro Minute oder noch weniger zuzulassen und die Einstellung „block“ zu wählen.
Unter „Blocked IPs“ kann man dann die entsprechenden IPs sichten und ggf. permanent blocken.
Externe Datenabfrage über WordPress Programmierschnittstelle (API) neutralisieren
Alle Webseiten, denen z.B. von großen Konsortien kostenfreie Apps angeboten wurden, wenn sie zuvor das Plugin JSON API installieren, sollten dieses sofort deaktivieren. Nicht nur über dieses Plugin, sondern über die gesamte von WordPress mittlerweile implementierte Programmierschnittstelle lassen sich Eure gesamten Daten auslesen.
Testen lässt sich das leicht, indem Ihr auf einer mit WordPress betriebenen Webseite die Endung /wp-json hinzufügt und dann staunt. Hier ein Beispiel.
Die WordPress Foundation und ihre Handvoll Entscheider und Entwickler planen derzeit durch die demnächst auf Millionen von Webseiten automatisch installierte Version WordPress 4.5 die Schnittstelle / API „REST“ („Representational State Transfer“) im WordPress Kern zu verankern. Es wird ausdrücklich damit geworben, dass damit
„andere Webseiten, mobile Anwendungen, Desktop / Server Software und andere Komponenten einfach und automatisch programmatisch Daten von eurer WordPress gewinnen können, ohne die Webseite über einen Browser aufrufen zu müssen.“
Wir raten dazu, die gesamte WordPress API Schnittstelle bzw alle „json“-Funktionen und Filter in WordPress vollständig zu deaktivieren. Ein diesbezüglich nützliches Plugin ist Disable JSON API. Auf aktuelle Entwicklungen ist zu achten.
Wer die WordPress API aktiv lassen will, etwa aufgrund einer Anwendung (App), sollte sich die Sachlage zumindest vor Augen führen.
Weitere Hinweise und Tipps in Kurzform
- Browser-Identifzierung über HTML5 Bilddaten-Erfassung durch Plugin Disable Emojis neutralisieren (erster nützlicher Hinweis zur Sache: IKNews).
- Aufrufe der Google Schnittstelle (API) unterbinden, u.a. indem ihr alle Referenzen an Google Fonts (Schriften) löscht (Plugin: Remove Google Fonts References)
- Sabotage über XML-RPC (pingbacks) unterbinden, durch vollständiges Deaktivieren dieser Schnittstelle (Plugin: Disable XML-RPC). Wer Wert auf viele Pingbacks legt, sollte diese Funktion aktiv lassen.
- Das in WordPress 4.4 implementierte Einbetten, sowie alle „oembed“-Funktionen und Filter deaktivieren, die unserer Einschätzung nach ebenfalls eine Sicherheitslücke repräsentieren (Plugin: Disable Embeds).
- Das Plugin Askimet, welches aus WordPress heraus ebenfalls externe Abfragen und Kommunikation mit anderen Stellen durchführt, durch Antispam Bee ersetzen
- nach Möglichkeit seine Webseite auf https betreiben oder entsprechend umstellen. Nach jahrelanger Vorbereitungszeit hat Let´s Encrypt seinen Betrieb aufgenommen und stellt TLS Zertifikate für sichere Verbindung zur Verfügung.
- Ergänzung: Bei Änderung des Passwortes die Eingabe, wie in früheren WordPress Versionen üblich, durch ein zweites Feld bestätigen lassen. Dafür das Cookie der eigenen Webseite deaktivieren bzw deaktiviert lassen, z.B. durch das Browser Plugin NoScript. Die Eingabe des Passwortes sollte nie in Klarschrift, sondern immer durch Punkte verschleiert erfolgen. Das Passwort sollte aus mindestens 8 Zeichen (Buchstaben, Zahlen und Sonderzeichen) bestehen und nie elektronisch abgespeichert oder z.B. offen in Textdateien hinein kopiert werden. Hier ist beschrieben warum. Es empfielt sich, das gute alte Papier zu verwenden, z.B. in Form eines handlichen Notizbuches.
Abschließende Anmerkungen
Ziel dieses Artikels ist es nicht, noch mehr Misstrauen, Angst, Passivität und Rückzug von freier Meinungsäußerung und Presse zu bewirken, wie es nach unserer Einschätzung ab Juni 2013 die „Snowden-Veröffentlichungen“ getan haben. Unser Anliegen ist, zunächst Aufmerksamkeit bei den Millionen passiven und aktiven Nutzern von WordPress in der Republik zu wecken und bei der Vertretung und in Anspruchnahme ihrer verfassungsmäßigen Rechte nicht auf irgendeine etablierte Organisation oder gar den Staat zu hoffen.
Darüber hinaus erwarten wir, dass die vielen wohlmeinenden und idealistischen Mitarbeiterinnen und Mitarbeiter von WordPress bzw Automattic weltweit die Bedeutung der Worte „Datenschutz“ und „Privatsphäre“, sowie die Gefahren von Manipulation, Spionage oder / und dInfiltration ihres Stabes und ihrer Systeme, endlich zur Kenntnis nehmen und darauf reagieren; z.B. durch Entwicklungen von „WordPress Secure“-Systemen, also WordPress Versionen für Webseiten, die wie wir entsprechend arbeiten.
Wir werden WordPress weiter nutzen und bedanken uns für die enorme Zeit und den Aufwand, den die Entwicklerinnen und Entwickler von WordPress und WordPress Plugins bereits geleistet und der Welt geschenkt haben. Ohne diese Zeit und Arbeit wäre auch dieser Artikel so nicht möglich gewesen.