Geekflare
Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
By Ankush in Sicherheit  |  Zuletzt aktualisiert: 7. August 2022
Teilen:

Top 5 Sicherheitslücken in WordPress-Installationen

wp Sicherheit
Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Ihre WordPress-Installation kann so sicher oder unsicher sein, wie Sie möchten. Erfahren Sie, welche fünf Dinge für die Sicherheit am wichtigsten sind.

Bedenken und Beschwerden bezüglich der Sicherheit von WordPress sind nichts Neues.

Wenn Sie ein CMS benötigen und zufällig einen Dienstanbieter konsultieren, der nicht mit WordPress vertraut ist, ist Sicherheit die Nummer eins, von der Sie erfahren werden. Bedeutet das, dass jeder WordPress löschen und zu statischen Site-Generatoren oder a wechseln sollte? kopfloses CMS?

Nein, denn genau wie jede Wahrheit im Leben hat auch diese viele Seiten.

Ist WordPress sehr unsicher?

Werfen wir einen Blick auf einige riesige Websites, die auf WordPress basieren:

  • TechCrunch
  • The New Yorker
  • BBC Amerika
  • Bloomberg
  • MTV News
  • PlayStation Blog

Also, was bringt diese Unternehmen – mit absurd tiefen Taschen und einer verblüffenden Belegschaft – dazu, nicht von WordPress zu wechseln? Wenn Sie der Meinung sind, dass die Antwort Legacy-Code ist, denken Sie noch einmal darüber nach: Für diese Namen sind Datensicherheit und öffentliches Image unendlich wichtiger als eine einfache Migration, die (schätze ich) weniger als 200,000 US-Dollar kosten wird.

Sicher wissen ihre Ingenieure, was sie tun und sehen keine grundlegenden, unlösbaren Sicherheitsprobleme mit WordPress?

Sogar ich habe das Glück, eine WordPress-Installation zu verwalten, die 3.5 bis 4 Millionen Besucher pro Monat verzeichnet. Die Gesamtzahl der Sicherheitsverletzungen in den letzten acht Jahren? Null!

So . . . ist WordPress sicher?

Es tut mir leid, wenn es nach Trolling aussieht, aber hier ist meine Antwort:

Ich sage es, weil es wie jede Wahrheit im Leben kompliziert ist. Um zu einer legitimen Antwort zu gelangen, müssen wir zunächst verstehen, dass WordPress (oder ein vorgefertigtes CMS) nicht wie ein Schrank ist, den Sie dauerhaft irgendwo festhalten und damit fertig sind.

Es ist eine komplexe Software mit vielen Abhängigkeiten:

  • PHP, das ist die Sprache, mit der es gebaut wurde
  • Ein öffentlich sichtbarer Computer, auf dem die Installation gehostet wird
  • Der Webserver, auf dem Besucher verarbeitet werden (Apache, Nginx usw.)
  • Die verwendete Datenbank (MySQL / MariaDB)
  • Designs (Pakete von PHP-, CS- und JS-Dateien)
  • Plugins (Bündel von PHP-, CS- und JS-Dateien)
  • Und viele mehr, je nachdem, wie viel Ihre Installation erreichen soll

Mit anderen Worten, eine Sicherheitsverletzung an einer dieser Nähte wird als WordPress-Verletzung bezeichnet.

Wenn das Root-Passwort des Servers war admin123 und es wurde kompromittiert, ist es WordPress-Sicherheitslücke?

Wenn die PHP-Version eine Sicherheitslücke hatte oder wenn das neue Plugin, das Sie gekauft und installiert haben, eine eklatante Sicherheitslücke enthielt; usw. Zusammenfassend: Ein Subsystem fällt aus, und es ist ein WordPress-Sicherheitsfehler.

Lassen Sie sich im Übrigen auch nicht den Eindruck vermitteln, dass PHP, MySQL und Apache nicht sicher sind. Jedes Jede Software weist Schwachstellen auf, deren Anzahl bei Open Source schwankt (weil sie für alle sichtbar und analysierbar ist).

Hat jemand "sicher" gesagt? 😛

Was wir aus all dieser Übung lernen, ist Folgendes:

Nichts ist für sich allein sicher oder unsicher. Es sind die verschiedenen verwendeten Komponenten, die die Glieder in der Kette bilden, wobei die Kette natürlich genauso stark ist wie die schwächste von ihnen. In der Vergangenheit war das "nicht sichere" Label von WordPress eine Kombination aus alten PHP-Versionen, Shared Hosting und dem Hinzufügen von Plugins / Themes aus nicht vertrauenswürdigen Quellen.

Gleichzeitig machen einige ziemlich häufige Versehen Ihre WordPress-Installation anfällig für diejenigen, die wissen, wie man sie ausbeutet und entschlossen sind. Und darum geht es in diesem Beitrag. Lassen Sie uns also ohne weiteres (und ohne zirkuläre Argumente) loslegen.

Top WordPress-Lücken, die Hacker ausnutzen können

The WordPress table prefix

Die berühmte 5-Minuten-Installation ist das Beste, was WordPress passieren kann, aber wie alle Installationsassistenten macht sie uns faul und lässt die Dinge auf Standard.

Dies bedeutet, dass das Standardpräfix für Ihre WordPress-Tabellen lautet wp_, was zu Tabellennamen führt, die jeder erraten kann:

  • wp-users
  • wp-options
  • wp-posts

Betrachten Sie nun einen Angriff, der als bekannt ist SQL Injection, wo böswillige Datenbankabfragen geschickt eingefügt und in WordPress ausgeführt werden (bitte beachten Sie, dass dies keinesfalls ein WordPress / PHP-exklusiver Angriff ist).

Während WordPress über integrierte Mechanismen verfügt, um diese Art von Angriffen zu verarbeiten, kann niemand garantieren, dass dies nicht geschieht.

Wenn es dem Angreifer also irgendwie gelingt, eine Abfrage wie auszuführen DROP TABLE wp_users; DROP TABLE wp_posts;Alle Ihre Konten, Profile und Beiträge werden sofort gelöscht ohne Chance auf Genesung (es sei denn, Sie haben ein Sicherungsschema eingerichtet, aber selbst dann müssen Sie seit der letzten Sicherung Daten verlieren).

Das einfache Ändern des Präfixes während der Installation ist eine große Sache (was erforderlich ist Null Aufwand).

Etwas Zufälliges wie sdg21g34_ wird empfohlen, weil es Unsinn und schwer zu erraten ist (je länger das Präfix, desto besser). Das Beste daran ist, dass dieses Präfix nicht einprägsam sein muss. Das Präfix wird von WordPress gespeichert, und Sie müssen sich nie wieder darum kümmern (genau wie Sie sich nicht um die Standardeinstellung kümmern müssen wp_ Präfix!).

The default login URL

Woher wissen Sie, dass eine Website unter WordPress ausgeführt wird? Eines der verräterischen Anzeichen ist, dass Sie die WordPress-Anmeldeseite sehen, wenn Sie der Website-Adresse "/wp-login.php" hinzufügen.

Nehmen wir als Beispiel meine Website (http://ankushthakur.com). Ist es auf WordPress? Nun, fahren Sie fort und fügen Sie den Login-Teil hinzu. Wenn Sie sich zu faul fühlen, passiert Folgendes:

¯ \ _ (ツ) _ / ¯

WordPress, richtig?

Sobald so viel bekannt ist, kann der Angreifer sich vor Freude die Hände reiben und auf alphabetischer Basis böse Tricks aus seinem Bag-O'-Doom anwenden. Ich armer!

Die Lösung besteht darin, die Standard-Anmelde-URL zu ändern und nur an vertrauenswürdige Personen weiterzugeben.

Zum Beispiel ist diese Website auch auf WordPress, aber wenn Sie http://geekflare.com/wp-login.php besuchen, werden Sie nur eine tiefe Enttäuschung erleben. Die Anmelde-URL ist versteckt und nur den Admins bekannt?

Das Ändern der Anmelde-URL ist ebenfalls kein Hexenwerk. Schnapp dir das einfach Plugin.

Herzliche GlückwünscheSie haben gerade eine weitere Ebene frustrierender Sicherheit hinzugefügt Brute-Force-Angriffe.

The PHP and web server version

Wir haben bereits besprochen, dass jede Software, die jemals geschrieben wurde (und geschrieben wird), voller Fehler ist, die darauf warten, ausgenutzt zu werden.

Gleiches gilt für PHP.

Selbst wenn Sie die neueste Version von PHP verwenden, können Sie nicht sicher sein, welche Sicherheitslücken bestehen und möglicherweise über Nacht entdeckt werden. Die Lösung besteht darin, einen bestimmten von Ihrem Webserver gesendeten Header auszublenden (noch nie von Headern gelesen?) fehlen uns die Worte.!) wenn sich ein Browser damit verbindet: x-powered-by.

So sieht es aus, wenn Sie die Entwicklungswerkzeuge Ihres Lieblingsbrowsers überprüfen:

Wie wir hier sehen können, teilt uns die Website mit, dass sie unter Apache 2.4 läuft und PHP Version 5.4.16 verwendet.

Das sind bereits eine Menge Informationen, die wir ohne Grund weitergeben und die dem Angreifer helfen, die Auswahl der Tools einzugrenzen.

Diese (und ähnliche) Header müssen ausgeblendet werden.

Glücklicherweise kann es schnell erledigt werden; Leider sind anspruchsvolle technische Kenntnisse erforderlich, da Sie in die Eingeweide des Systems eintauchen und mit wichtigen Dateien herumspielen müssen. Daher rate ich Ihnen, Ihren Website-Hosting-Anbieter zu bitten, dies für Sie zu tun. Wenn sie nicht sehen, ob ein Berater dies erledigen kann, hängt dies weitgehend von Ihrem Website-Host ab, ob ihr Setup solche Möglichkeiten bietet oder nicht.

Wenn es nicht funktioniert, ist es möglicherweise an der Zeit, den Hosting-Anbieter zu wechseln oder zu einem zu wechseln VPS und beauftragen Sie einen Berater für Sicherheits- und Verwaltungsprobleme.

Lohnt es sich? Nur Sie können das entscheiden. 🙂

Oh, und wenn Sie sich mit Sicherheitsköpfen beschäftigen möchten, finden Sie hier Ihre fixieren!

Number of login attempts

Einer der ältesten Tricks im Hackerhandbuch ist der sogenannte Wörterbuchangriff.

Die Idee ist, dass Sie eine lächerlich große Anzahl (wenn möglich Millionen) von Kombinationen für ein Passwort versuchen, es sei denn, eine davon ist erfolgreich. Da Computer blitzschnell arbeiten, ist ein derart dummes Schema sinnvoll und kann in angemessener Zeit zu Ergebnissen führen.

Eine übliche (und äußerst effektive) Verteidigung bestand darin, eine Verzögerung hinzuzufügen, bevor der Fehler angezeigt wird. Dies lässt den Empfänger warten. Wenn es sich also um ein Skript handelt, das von einem Hacker verwendet wird, dauert es zu lange, bis es fertig ist. Das ist der Grund, warum Ihr Computer oder Ihre Lieblings-App ein wenig hüpft und dann sagt: "Ups, das falsche Passwort!".

Wie auch immer, der Punkt ist, dass Sie die Anzahl der Anmeldeversuche für Ihre WordPress-Site begrenzen sollten.

Ab einer festgelegten Anzahl von Versuchen (z. B. fünf) sollte das Konto gesperrt werden und nur über die E-Mail-Adresse des Kontoinhabers wiederhergestellt werden können.

Zum Glück ist es ein Kinderspiel, dies zu erledigen, wenn Sie auf einen schönen stoßen Plugin.

HTTP vs. HTTPS

Das SSL-Zertifikat, über das Ihr Anbieter Sie belästigt hat, ist wichtiger als Sie vielleicht denken.

Es ist nicht nur ein Reputationstool, im Browser ein grünes Schlosssymbol mit der Aufschrift „Sicher“ anzuzeigen. Stattdessen reicht es aus, ein SSL-Zertifikat zu installieren und alle URLs dazu zu zwingen, mit „https“ zu arbeiten, um Ihre Website von einem offenen Buch zu einer kryptischen Schriftrolle zu machen.

Wenn Sie nicht verstehen, wie dies geschieht, lesen Sie bitte etwas, das als bekannt ist Man-in-the-Middle-Angriff.

Eine andere Möglichkeit, den von Ihrem Computer zum Server fließenden Datenverkehr abzufangen, ist das Paket-Sniffing, eine passive Form der Datenerfassung, bei der nicht einmal Anstrengungen unternommen werden müssen, um sich in der Mitte zu positionieren.

Bei Websites, die über "HTTP" ausgeführt werden, werden Ihre Passwörter und Kreditkartennummern als Klartext angezeigt.

Quelle: compareitech.com

Unheimlich? Sehr!

Aber einmal du Installieren Sie ein SSL-Zertifikat und alle URLs werden in "https" konvertiert. Diese vertraulichen Informationen werden als Kauderwelsch angezeigt, den nur der Server entschlüsseln kann. Mit anderen Worten, schwitzen Sie nicht diese paar Dollar pro Jahr. 🙂

Fazit

Werden diese fünf Dinge unter Kontrolle gebracht, um Ihre Website gut zu sichern?

Nein überhaupt nicht. Wie unzählige Sicherheitsartikel sagen, sind Sie nie 100% sicher, aber es ist möglich, eine große Klasse dieser Probleme mit angemessenem Aufwand zu beseitigen. Sie können in Betracht ziehen, zu verwenden SUCURI Cloud WAF um Ihre Websites ganzheitlich zu schützen.

Danke an unsere Sponsoren
Weitere großartige Lektüre zum Thema Sicherheit
Treiben Sie Ihr Geschäft an
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti
    Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • helle Daten
    Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush
    Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder
    Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder