Ausgehende Verbindungen von WordPress überwachen

WordPress macht leider nicht immer das was es machen soll. Immer wieder kommt es vor, dass WordPress selbstständig eine Verbindung zur Außenwelt herstellen. Diese auch oft unter dem Begriff „Home Calls“ Verbindungen sind zum Teil berechtigt zum Teil stecken dahinter aber auch Gefahren. Sei es wenn Plugins durch Scripte oder Themes durch Scripte Daten an die Außenwelt senden oder sogar diese entsprechend austauschen. Schnell kann Schadsoftware oder ähnlich in WordPress oder die Homepage kommen, welchen man sicherlich nicht möchte. Es gibt aber auch Möglichkeiten diese Aktivitäten zu überwachen. Welche dies sind und wie man sich dagegen schützt erfahrt ihr hier.

 

Webspace: Ausgehende Verbindung zu Ihrem Schutz vorübergehend unterbunden

 

Eventuell habt ihr diese Meldung auch schon mal per Email von eurem Hoster bekommen. Viele Hoster warnen so ihre Kunden, dass es ausgehende Verbindungen gab, welche so nicht gewollt sind. Meist sind dies Verbindungen zu externen Servern. Welche diese verursachen lässt sich nicht ohne weiteres feststellen. Dazu benötigt es einiger Schritte. Natürlich kann man bei berechtigten Verbindungen diese auch über den Hoster freigeben. Im Grunde wird hier ein Firewall Schutz angeboten wie man auch von Virenprogrammen auf dem heimischen Rechner kennt.

 

Herausfinden der aufgerufenen IP Adresse

Bekommen man den Email Service, dann ist meist auch schon eine IP Adresse mitgeliefert. Ob dies allerdings etwas bringt, um über die Whois Abfrage auch herauszubekommen, warum diese Verbindung hergestellt wurde bleibt fraglich. Zumindest hat man mal einen ersten Anhaltspunkt.

 

Auswertung der Log Datei des Servers

Eine weitere Möglichkeit ist die Eingrenzung mit der Log Datei auf dem Server, welche man sich per FTP herunterladen kann. Hier kann man eventuell Rückschlüsse über die Webseite oder die Ip Adresse machen. Aufgrund der unzähligen Einträge in der Log Datei, sollte man hier zumindest die genaue Uhrzeit wissen um die Suche einzugrenzen.

 

Snitch Netzwerkmonitor Plugin für WordPress

Eine weitere wie wir finden recht komfortable Möglichkeit ist die Benutzung eines Plugins auf der WordPress Installation. Hier hat sich mal wieder Sergej Müller ins Zeug gelegt und Snitch entwickelt. Im Grunde ein Netzwerkmonitor für WordPress und eine äußerst nützliche Geschichte. Hier werden alle ausgehenden Verbindungen protokolliert und man kann mit einem Klick diese auch entsprechend unterbinden. Das Plugin ist aktuell noch kostenlos aber sicherlich freut sich Sergej auch über eine kleine Spende. Hier einige Features und Highlights von Snitch

  • Im oberen Bereich lassen sich die Einträge filtern
  • Zudem lässt sich dort auch das Protokoll leeren. Sicherlich wichtig um nicht eine sehr große Datei zu erlangen
  • Die Datenansicht besteht aus mehreren Feldern. Von links nach rechts: Ziel URL, Herkunftsdatei, Zustand, Status, Dauer, Zeit und Daten
  • Somit lässt sich schnell herausfinden wer den Zugriff nach draußen macht
  • Im Angehängten Beispiel sieht man zum Beispiel ein SEO Plugin, welches zu Google oder Bing Verbindungen aufbaut
  • Oft sind hier auch Update Check von WordPress enthalten
  • Auch Cron Jobs sind hier aufgelistet. Meist aufgerufen über die cron.php. Diese werden von WordPress via WordPress HHTP API abgerufen. Auch hier sollte man Unstimmigkeiten feststellen können.
  • Über folgenden Code in der wp-config.php lässt sich die Protokollierung abschalten:define (`SNITCH_IGNORE_INTERNAL_REQUESTS`, true);
  • Über Snitch lassen sich Ziel URL Zugriff recht einfach blockieren. Dies wird im Feld Zustand dann auch angezeigt.
  • Auch die Anzahl der Einträge in Snitch sind interessant. Hier sieht man schnell ob es gewisse Unregelmäßigkeiten gibt.
  • Schnell können hier Datenbankprobleme auftreten.

Snitch_Plugin

Wesentlich mehr Informationen gibt es natürlich direkt bei Sergej Müller auf der Pluginseite und im entsprechenden Wiki.

 

WP Control zur Kontrolle der WP Cron Jobs

Neben dem Plugin Snitch empfiehlt es sich auch das Plugin WP-Cron-Events zu laden. Hier hat man einen Überblick auf die Cron Events und woher sie stammen. In unserem Fall ist hier zum Beispiel Wordfence zu sehen. Diese könnte man entweder editieren, starten oder auch löschen sofern diese unberechtigt sind. Man kann auch die Häufigkeit der Aktivierungen hier herauslesen und auswerten. Schnell sieht man hier Unregelmäßigkeiten.

 

CronEvents

 

Das WP Control Plugin findet ihr hier

Sicherlich gibt es noch wesentlich mehr Tipps und Tricks um in Zukunft über die ausgehenden Verbindungen Bescheid zu wissen.

Vor allem sollte man immer darauf achten, dass Plugins und auch Themes auf dem aktuellen Sand sind.

Was habt ihr für Erfahrungen mit den externen Verbindungen zu anderen Servern? Bereits Probleme damit gehabt?

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.