Die Verbindung muss erst einmal hergestellt werden und doch gibt es sie: WordPress soll mit dem Datenleck bei Mossack Fonseca zu tun haben. Auf Twitter kursieren diesbezügliche Meldungen, diverse Online-Magazine und Zeitungen haben ihre Schlagzeilen darauf abgestimmt, denn ja, WordPress wird von sehr vielen Unternehmen als CMS eingesetzt. Und was lockt mehr als ein aus dem eigenen Haus bekannter Begriff in einer katastrophalen Schlagzeile zum größten Datenleck des Jahres?
Analysen zum Leak bei Mossack Fonseca (kurz: Mofo) gibt es viele, weshalb ich in diesem Beitrag nicht auf den Wahnsinn eingehe, der zum Beispiel in einer Analyse der Firma Wordfence nachzulesen ist. Ich hinterfrage nicht, warum zum Beispiel interne Dokumente auf dem Webserver aufzufinden waren. Nicht, warum Passwörter zu einem offensichtlich wichtigen E-Mailkonto in der WordPress-Datenbank gespeichert waren1. Nicht, warum das Plugin Revolution Slider in einer Version in Verwendung war, von der bekannt ist, dass sie über eine gravierende Sicherheitslücke verfügt. (Und es ist diese Lücke, die wahrscheinlich ausgenützt wurde, um an die WordPress-Konfigurationsdatei zu gelangen, in der die für den Datenbankzugang nötigen Daten gespeichert sind.)
Ich hinterfrage auch nicht, warum ein Nutzer noch am 8. April 2016, also 5 Tage nach der Veröffentlichung der Panama Papers, durch Directory-Listings ein gezipptes Backup einer älteren Version der Website finden konnte. Und schon gar nicht hinterfrage ich, warum in diesem Backup eine unverschlüsselte Datenbanksicherung mit brisantem Inhalt gespeichert war, nämlich…
the user names, email addresses and md5-encrypted passwords of 17 logins. All but four of those md5 passwords are easily discoverable in seconds […]. I hope they’re not using the same logins on their new site.
Dilettantischer geht kaum. Wenn solche Fehler selbst nach Bekanntwerden der Leaks nicht bereinigt werden, liegt das Problem definitiv nicht an der verwendeten Software, sondern an der Inkompetenz derjenigen, die sie benutzen2.
Um zurück zur eingangs gestellten Frage zu kommen: Was hat nun WordPress mit den Panama Papers zu tun, wie ich im Titel des Beitrags frage? Die Antwort ist einfach: Gar nichts. Also keine Panik!
WordPress hat das Datenleck nicht möglich gemacht, sein Ausnutzen nicht erleichtert, und schon gar nicht hat WordPress das Datenleck verursacht. Verursacht hat es Mofos Einstellung zum Thema Wartung und Sicherheit. Erleichtert hat es Mofos Nachlässigkeit in Bezug auf Updates und regelmäßige Security-Checks im Rahmen notwendiger Wartungsarbeit. Und möglich gemacht hat es Mofos Verständnis von Sicherheit als einmalig herzustellender Zustand und nicht als kontinuierlicher Prozess.
Und das, nicht WordPress, ist das Problem.
- Mossack Fonseca hat die Plugins WP SMTP und ALO EasyMail Newsletter in Verwendung. Ersteres verschickt E-Mails nicht über die PHP-Mailfunktion, sondern über den SMTP-Server. Zweiteres hat eine Funktion, die Bounces im Newsletterversand erkennen und aus dem Verteiler löschen kann. Beide Plugins benötigen sowohl den Login als auch das Passwort für ein Mailkonto. Und diese werden in der WordPress-Datenbank gespeichert. ↩
- Inkompetenz oder mangelnde Finanzierung. Wer bei der Sicherheit spart, verliert früher oder später aber ohnehin, wie uns immer wieder, nun aber ganz besonders, vor Augen geführt wird. ↩