Top 5 Sicherheitslücken in WordPress-Installationen

Ihre WordPress-Installation kann so sicher oder unsicher sein, wie Sie möchten. Erfahren Sie, welche fünf Dinge für die Sicherheit am wichtigsten sind.


Bedenken und Beschwerden bezüglich der Sicherheit von WordPress sind nichts Neues.

Wenn Sie ein CMS benötigen und zufällig einen Dienstanbieter konsultieren, der nicht mit WordPress vertraut ist, ist Sicherheit die Nummer eins, von der Sie erfahren werden. Bedeutet das, dass jeder WordPress fallen lassen und zu statischen Site-Generatoren oder einem kopflosen CMS wechseln sollte??

Nein, denn genau wie jede Wahrheit im Leben hat auch diese viele Seiten.

Ist WordPress sehr unsicher?

Werfen wir einen Blick auf einige große Websites, die auf WordPress basieren:

  • TechCrunch
  • Der New Yorker
  • BBC America
  • Bloomberg
  • MTV Nachrichten
  • PlayStation-Blog

Was bringt diese Unternehmen – mit absurd tiefen Taschen und umwerfenden Mitarbeitern – dazu, nicht von WordPress zu wechseln? Wenn Sie der Meinung sind, dass die Antwort Legacy-Code ist, denken Sie noch einmal darüber nach: Für diese Namen sind Datensicherheit und öffentliches Image unendlich wichtiger als eine einfache Migration, die (ich schätze) weniger als 200.000 US-Dollar kostet.

Sicher wissen ihre Ingenieure, was sie tun, und sehen keine grundlegenden, unlösbaren Sicherheitsprobleme mit WordPress?

Sogar ich habe das Glück, eine WordPress-Installation zu verwalten, die 3,5 bis 4 Millionen Besucher pro Monat verzeichnet. Die Gesamtzahl der Sicherheitsverletzungen in den letzten acht Jahren? Null!

Damit . . . ist WordPress sicher?

Es tut mir leid, wenn es nach Trolling aussieht, aber hier ist meine Antwort:

Ich sage es, weil es wie jede Wahrheit im Leben kompliziert ist. Um zu einer legitimen Antwort zu gelangen, müssen wir zunächst verstehen, dass WordPress (oder ein vorgefertigtes CMS) nicht wie ein Schrank ist, den Sie dauerhaft irgendwo festhalten und damit fertig sind.

Es ist eine komplexe Software mit vielen Abhängigkeiten:

  • PHP, die Sprache, mit der es erstellt wurde
  • Ein öffentlich sichtbarer Computer, auf dem die Installation gehostet wird
  • Der Webserver, auf dem Besucher verarbeitet werden (Apache, Nginx usw.)
  • Die verwendete Datenbank (MySQL / MariaDB)
  • Themen (Bündel von PHP-, CS- und JS-Dateien)
  • Plugins (Bündel von PHP-, CS- und JS-Dateien)
  • Und vieles mehr, je nachdem, wie viel Ihre Installation erreichen soll

Mit anderen Worten, eine Sicherheitsverletzung an einer dieser Nähte wird als WordPress-Verletzung bezeichnet.

Wenn das Root-Passwort des Servers admin123 war und kompromittiert wurde, liegt eine WordPress-Sicherheitslücke vor?

Wenn die PHP-Version eine Sicherheitslücke hatte; oder wenn das neue Plugin, das Sie gekauft und installiert haben, eine krasse Sicherheitslücke enthält; und so weiter. Zusammenfassend: Ein Subsystem fällt aus und es handelt sich um einen WordPress-Sicherheitsfehler.

Lassen Sie sich im Übrigen auch nicht den Eindruck vermitteln, dass PHP, MySQL und Apache nicht sicher sind. Jede Software weist Schwachstellen auf, deren Anzahl bei Open Source schwankt (weil sie für alle sichtbar und analysierbar ist)..

Hat jemand “sicher” gesagt? ��

Für die Quelle dieser Daten und anderer demoralisierender Statistiken, Schau dir das an.

Was wir aus all dieser Übung lernen, ist Folgendes:

Nichts ist für sich allein sicher oder unsicher. Es sind die verschiedenen verwendeten Komponenten, die die Glieder in der Kette bilden, wobei die Kette natürlich genauso stark ist wie die schwächste von ihnen. In der Vergangenheit war das “nicht sichere” Label von WordPress eine Kombination aus alten PHP-Versionen, Shared Hosting und dem Hinzufügen von Plugins / Themes aus nicht vertrauenswürdigen Quellen.

Gleichzeitig machen einige ziemlich häufige Versehen Ihre WordPress-Installation anfällig für diejenigen, die wissen, wie man sie ausnutzt und entschlossen sind. Und darum geht es in diesem Beitrag. Beginnen wir also ohne weiteres (und mit zirkulären Argumenten).

Top WordPress-Lücken, die Hacker ausnutzen können

Das WordPress-Tabellenpräfix

Die berühmte 5-Minuten-Installation ist das Beste, was WordPress passieren kann, aber wie alle Installationsassistenten macht sie uns faul und lässt die Dinge auf Standard.

Dies bedeutet, dass das Standardpräfix für Ihre WordPress-Tabellen wp_ ist, was zu Tabellennamen führt, die jeder erraten kann:

  • wp-Benutzer
  • wp-Optionen
  • wp-posts

Stellen Sie sich nun einen Angriff vor, der als SQL Injection bekannt ist und bei dem böswillige Datenbankabfragen geschickt eingefügt und in WordPress ausgeführt werden (bitte beachten Sie, dass dies keinesfalls ein WordPress / PHP-exklusiver Angriff ist)..

Obwohl WordPress über integrierte Mechanismen für diese Art von Angriffen verfügt, kann niemand garantieren, dass dies nicht geschieht.

Wenn es dem Angreifer also irgendwie gelingt, eine Abfrage wie DROP TABLE wp_users auszuführen; DROP TABLE wp_posts;, alle Ihre Konten, Profile und Beiträge werden sofort gelöscht, ohne dass eine Wiederherstellung möglich ist (es sei denn, Sie haben ein Sicherungsschema eingerichtet, aber selbst dann müssen Sie seit der letzten Sicherung Daten verlieren ).

Das einfache Ändern des Präfixes während der Installation ist eine große Sache (was erforderlich ist Null Aufwand).

Etwas Zufälliges wie sdg21g34_ wird empfohlen, da es unsinnig und schwer zu erraten ist (je länger das Präfix, desto besser). Das Beste daran ist, dass dieses Präfix nicht einprägsam sein muss. Das Präfix wird von WordPress gespeichert, und Sie müssen sich nie wieder darum kümmern (genau wie Sie sich nicht um das Standardpräfix wp_ kümmern müssen!)..

Die Standard-Anmelde-URL

Woher wissen Sie, dass eine Website unter WordPress ausgeführt wird? Eines der verräterischen Anzeichen ist, dass Sie die WordPress-Anmeldeseite sehen, wenn Sie der Website-Adresse “/wp-login.php” hinzufügen.

Nehmen wir als Beispiel meine Website (http://ankushthakur.com). Ist es auf WordPress? Nun, fahren Sie fort und fügen Sie den Login-Teil hinzu. Wenn Sie sich zu faul fühlen, passiert Folgendes:

¯ \ _ (ツ) _ / ¯

WordPress, richtig?

Sobald so viel bekannt ist, kann sich der Angreifer vor Freude die Hände reiben und auf alphabetischer Basis böse Tricks aus seinem Bag-O’-Doom anwenden. Ich armer!

Die Lösung besteht darin, die Standard-Anmelde-URL zu ändern und nur an vertrauenswürdige Personen weiterzugeben.

Diese Website ist beispielsweise auch in WordPress verfügbar. Wenn Sie jedoch http://geekflare.com/wp-login.php besuchen, erhalten Sie nur tiefe, tiefe Enttäuschungen. Die Anmelde-URL ist ausgeblendet und nur den Administratoren bekannt ?.

Das Ändern der Anmelde-URL ist ebenfalls kein Hexenwerk. Schnapp dir das einfach Plugin.

Herzliche Glückwünsche, Sie haben gerade eine weitere Ebene frustrierender Sicherheit gegen Brute-Force-Angriffe hinzugefügt.

Die PHP- und Webserver-Version

Wir haben bereits besprochen, dass jede Software, die jemals geschrieben wurde (und geschrieben wird), voller Fehler ist, die darauf warten, ausgenutzt zu werden.

Gleiches gilt für PHP.

Selbst wenn Sie die neueste Version von PHP verwenden, können Sie nicht sicher sein, welche Sicherheitslücken bestehen und möglicherweise über Nacht entdeckt werden. Die Lösung besteht darin, einen bestimmten von Ihrem Webserver gesendeten Header auszublenden (noch nie von Headern gelesen?) diese!) wenn sich ein Browser damit verbindet: x-powered-by.

So sieht es aus, wenn Sie die Entwicklungswerkzeuge Ihres Lieblingsbrowsers überprüfen:

Wie wir hier sehen können, teilt uns die Website mit, dass sie unter Apache 2.4 läuft und PHP Version 5.4.16 verwendet.

Das sind bereits eine Menge Informationen, die wir ohne Grund weitergeben, um dem Angreifer dabei zu helfen, die Auswahl der Tools einzugrenzen.

Diese (und ähnliche) Header müssen ausgeblendet werden.

Glücklicherweise kann es schnell erledigt werden; Leider sind anspruchsvolle technische Kenntnisse erforderlich, da Sie in die Eingeweide des Systems eintauchen und mit wichtigen Dateien herumspielen müssen. Daher rate ich Ihnen, Ihren Website-Hosting-Anbieter zu bitten, dies für Sie zu tun. Wenn sie nicht sehen, ob ein Berater dies erledigen kann, hängt dies weitgehend von Ihrem Website-Host ab, ob ihre Einrichtung solche Möglichkeiten bietet oder nicht.

Wenn dies nicht funktioniert, ist es möglicherweise an der Zeit, den Hosting-Anbieter zu wechseln oder zu einem VPS zu wechseln und einen Berater für Sicherheits- und Verwaltungsprobleme einzustellen.

Lohnt es sich? Nur Sie können das entscheiden. ��

Oh, und wenn Sie sich mit Sicherheitsköpfen beschäftigen möchten, finden Sie hier Ihre Lösung!

Anzahl der Anmeldeversuche

Einer der ältesten Tricks im Hacker-Handbuch ist der sogenannte Wörterbuchangriff.

Die Idee ist, dass Sie eine lächerlich große Anzahl (wenn möglich Millionen) von Kombinationen für ein Passwort versuchen, es sei denn, eine davon ist erfolgreich. Da Computer blitzschnell arbeiten, ist ein derart dummes Schema sinnvoll und kann in angemessener Zeit zu Ergebnissen führen.

Eine übliche (und äußerst effektive) Verteidigung bestand darin, eine Verzögerung hinzuzufügen, bevor der Fehler angezeigt wird. Dies lässt den Empfänger warten. Wenn es sich also um ein Skript handelt, das von einem Hacker verwendet wird, dauert es zu lange, bis es fertig ist. Aus diesem Grund springt Ihr Computer oder Ihre Lieblings-App ein wenig und sagt dann: “Ups, das falsche Passwort!”.

Der Punkt ist jedenfalls, dass Sie die Anzahl der Anmeldeversuche für Ihre WordPress-Site begrenzen sollten.

Ab einer festgelegten Anzahl von Versuchen (z. B. fünf) sollte das Konto gesperrt werden und nur über die E-Mail-Adresse des Kontoinhabers wiederhergestellt werden können.

Zum Glück ist es ein Kinderspiel, dies zu erledigen, wenn Sie auf einen schönen stoßen Plugin.

HTTP vs. HTTPS

Das SSL-Zertifikat, über das Ihr Anbieter Sie belästigt hat, ist wichtiger als Sie vielleicht denken.

Es ist nicht nur ein Reputationstool, im Browser ein grünes Schlosssymbol mit der Aufschrift “Sicher” anzuzeigen. Stattdessen reicht es aus, ein SSL-Zertifikat zu installieren und alle URLs dazu zu zwingen, mit „https“ zu arbeiten, um Ihre Website von einem offenen Buch zu einer kryptischen Schriftrolle zu machen.

Wenn Sie nicht verstehen, wie dies geschieht, lesen Sie bitte etwas, das als Man-in-the-Middle-Angriff.

Eine andere Möglichkeit, den von Ihrem Computer zum Server fließenden Datenverkehr abzufangen, ist das Paket-Sniffing. Dies ist eine passive Form der Datenerfassung und erfordert nicht einmal Mühe, sich in der Mitte zu positionieren.

Bei Websites, die über “HTTP” ausgeführt werden, werden Ihre Passwörter und Kreditkartennummern als Klartext angezeigt.

Quelle: compareitech.com

Unheimlich? Sehr!

Sobald Sie jedoch ein SSL-Zertifikat installiert haben und alle URLs in “https” konvertiert wurden, werden diese vertraulichen Informationen als Kauderwelsch angezeigt, den nur der Server entschlüsseln kann. Mit anderen Worten, schwitzen Sie nicht diese paar Dollar pro Jahr. ��

Fazit

Werden diese fünf Dinge unter Kontrolle gebracht, sichern Sie Ihre Website gut?

Nein überhaupt nicht. Wie unzählige Sicherheitsartikel sagen, sind Sie nie 100% sicher, aber es ist möglich, eine große Klasse dieser Probleme mit angemessenem Aufwand zu beseitigen. Sie können SUCURI Cloud WAF verwenden, um Ihre Websites ganzheitlich zu schützen.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map