WordPress schützt sich selbst vor gefälschten Updates
Erst vor Kurzem erhielt WordPress einen längst überfälligen Schutz. Die Update-Pakete werden nun digital signiert. So wird die Installation gefälschter Updates künftig verhindert. Die Bedrohung ist durchaus real.
Standardmäßig führt WordPress sogenannte Minor Updates – wie zum Beispiel von Version 5.2.1 auf 5.2.2 – automatisch aus. Das ist in Bezug auf die #sicherheit durchaus sinnvoll und wünschenswert. So werden Sicherheitslücken möglichst schnell geschlossen.
Diese automatischen Updates vergrößern auf der anderen Seite aber auch das Risiko, das von gefälschten Updates ausgeht. Wenn es Angreifern gelingt, ein gefälschtes Update-Paket auf die Server von WordPress einzuschleusen, könnte beispielsweise ein darin versteckter Virus binnen weniger Stunden Millionen von Websites befallen.
So ein Szenario ist nicht so weit hergeholt wie es im ersten Moment vielleicht erscheinen mag. Die Gefahr ist durchaus real und es handelt sich dabei um eine ernste Schwachstelle. Bereits seit 2016 existiert dazu ein Ticket im WordPress Trac, dass diese Lücke geschlossen werden sollte.
Nach etwa zweieinhalb Jahren wurde das Ticket jetzt geschlossen. Beginnend mit #wpversion 5.2 werden die Update-Pakete nun digital signiert. Möglicherweise ist durch das Erscheinen von ClassicPress nach längerer Zeit wieder Bewegung in diese Sache gekommen, da ClassicPress von Beginn an auf signierte Pakete setzt.
Wie auch immer, es handelt sich um einen sehr wichtigen Schritt zu mehr Sicherheit für WordPress. Bei einem System, auf dem etwa ein Drittel aller Websites läuft, nicht ganz unwesentlich.
So funktioniert die Absicherung der Updates
Die Update-Pakete werden mit einer sogenannten Signatur versehen. Das kann man sich tatsächlich ähnlich wie eine Unterschrift vorstellen. Verfügt man über eine Unterschriftsprobe, kann man die Echtheit der Unterschrift überprüfen.
Bei digitalen Signaturen wird ein asymmetrisches kryptografisches Verfahren eingesetzt. Solche Verfahren verwenden ein zusammengehöriges Schlüsselpaar. Dieses Paar besteht aus einem privaten und einem öffentlichen Schlüssel.
Der private Schlüssel wird zur Erstellung der Signatur benötigt. Dieser Schlüssel ist geheim und nur dem Ersteller bekannt. Der öffentliche Schlüssel ist wie der Name sagt öffentlich und kann verwendet werden, um die Echtheit der Signatur zu überprüfen.
Wichtig bei diesem Verfahren ist, dass der private Schlüssel, mit dem die Signatur erstellt wird, auch wirklich geheim ist. Der private Schlüssel, den WordPress für das Signieren der Updates verwendet, darf deshalb nicht irgendwo auf einem Server herumliegen, von wo er möglicherweise gestohlen werden könnte.
Der öffentliche Schlüssel liegt in WordPress vor. Beim Update wird mit diesem die Echtheit der Signatur überprüft. Da der private Schlüssel geheim ist, kann die Signatur eines gefälschten Update-Pakets keinesfalls gültig sein. Eine Fälschung wird so zuverlässig erkannt.
