Denkfehler! Die eigentlichen Gefahr sind Auto-Updater bzw. Installationen via Klick

...denn damit Installationen via Klick und Auto-Updater funktionieren muss im Falle von PHP der Worker in der Lage sein den eigenen Programm-Code zu ersetzen bzw. neuen zu speichern.

Mit anderen Worten: Eine riesige Remote Code Execution Kacke...

Wir die "Experten" (wie auch der Autor des Golem-Artikels) werfen Werbenetzwerken vor, dass sie die Kontrolle über ihre Netzwerke aus der Hand gegeben haben. D.h. das dort jeder Code einstellen kann, der dann auf Millionen von Seiten zielgerichtet an potentielle Opfer ausgeliefert wird.

Genau das gleiche passiert bei WordPress und Co: Jeder Depp kann Erweiterungen bereitstellen. Da werden Leute ohne Ahnung zu Programmieren. Eine Vorab-Prüfung findet nicht wie bei Werbenetzwerken nicht statt (und gute Bewertungen sind kein Indiz für guten, sicheren, Code). Natürlich, wenn sich eine Lücke oder bösartige Erweiterung findet reagiert auch irgendwann einmal der Betreiber, aber dann ist bereits Schaden entstanden.

Man sollte meiner Meinung einmal ernsthaft prüfen wovon mehr Gefahr ausgeht: Von Webservern die evtl. veraltete Kunden-Anwendungen ausführen, weil diese Kunden ihre Software nicht regelmäßig aktualisieren, oder von Leuten die dem Webserver volle Schreibrechte gewähren und auf Klick-Installationen bzw. Auto-Updater setzen.

Ein Auto-Update mag zwar dafür sorgen, dass bekannte Lücken bei Verfügbarkeit eines Patches schneller geschlossen werden, der Preis dafür ist aber hoch:

Hat ein Angreifer eine Lücke gefunden hat er die gesamte Rechenpower dieses Servers. Jetzt stellt euch mal einen Webserver vor der im Falle von WordPress nur auf wp-content/uploads Schreibrechte gewährt und zugleich sicherstellt, dass PHP in diesem Verzeichnis nichts ausführt.

Der Komfort wäre weg. Klick-Installationen bzw. Auto-Updates gibt es nicht mehr bzw. fordern zum FTP-Fallback auf. Dafür ist es äußerst schwer beliebigen Programm-Code einzuschleusen.

Natürlich, Content-Manipulierungen wie das Einbinden eines Exploit Kits ist weiterhin möglich. Die Rechenpower und Anbindung dieses Servers steht dem Angreifer aber nicht automatisch komplett zur Verfügung.


Aus aktuellem Anlass: https://www.heise.de/newsticker/meldung/Anbieter-des-WordPress-Plugin-BlogVault-gehackt-3618141.html ... "Anschließend sollen einige Webseiten, die auf das Plugin setzen, mit Malware infiziert worden sein, warnt der Anbieter."