Dieses Problem mit gerade frisch installierten WordPress Instanzen ist schon irgendwie bemerkenswert.
I am surprised this hasn't been a problem earlier.
How do you set your WP installs up, so that you don't have this window of attack? What would I recommend people who want to self-host a WP installation? https://t.co/V181vqML0D
— Jan Girlich (@vollkorn1982) April 12, 2022
Es scheint, dass dies ein wenig mit der Funktionalität von Let's Encrypt zusammenhängt. Durch das sogenannte Certificate Transperancy werden neue Zertifikate von gerade erstellten Domains recht schnell propagiert. Daher kann ein Skript diese Domains recht schnell auf noch nicht komplett durchlaufene WordPress Installations Assistenten suchen und so diese WordPress Instanzen einfach übernehmen.
Mir war vollkommen unbekannt, dass dies heute noch so einfach möglich ist. Denn die meisten ordentlichen Webspace Provider (Domain Factory, Webgo oder Strato) haben alle heute Installer, welche für einen im Hintergrund gleich eine neue WordPress Instanz installieren. Dabei wird auch gleich ein neues Admin Password abgefragt, so dass die Installation fertig ist.
Scheinbar gibt es aber auch noch günstige Webhosting Anbieter, welche solche Automatismen nicht haben. Klar, dann registriert man seine Domäne und vielleicht damit auch gleich noch sein Let's Encrypt Zertifikat und schon ist die Domäne bekannt. Als nächstes lädt man das entpackte WordPress ZIP per FTP auf seinen Webspace. In dieser Zeit kann der Angreifer schon die WordPress Installation gefunden haben und fertig gestellt haben. Gut, findige Leute können das Ganze ja wieder löschen. Aber eventuell merkt man es nicht mal.
In diesem Fall würde ich vermutlich diesen Weg gehen (hab ich nicht ausprobiert):
1. WordPress ZIP hochladen
2. Installation mit einer Zwischendomain (am besten noch ohne Let's Encrypt Zertifikat) durchführen.
3. Richtige Domain einrichten (auf das WordPress Verzeichnis zeigen lassen und Let's Encrypt einrichten).
4. Die wp-config.php noch eine Ebene weiter hochschieben.
5. Die WordPress Instanz mit der richtigen Domain aufrufen und eventuell schauen ob diese in den Einstellungen richtig eingerichtet ist.
-> Vielleicht muss man dazu aber auch noch die wp-config.php anpassen.
Aber damit entfällt in der Theorie ja die Möglichkeit, dass potenzielle Skriptkiddies so schnell durch Certificate Transparency von der WordPress Instanz erfahren ohne dass die Installation schon fertig ist.
Fand ich eben spannend, da meine WordPress Installation auch schon ewig alt ist und ich deshalb schon lange keine frische WordPress Installation mehr gemacht habe.