Normale Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere BeiträgeHaupt-Feeds

WordPress Sicherheitslücken finden

Von: Benni
23. Januar 2017 um 17:54

WordPress ist ein Content-Management-System (CMS), das sich sehr weit verbreitet hat. Die Einfachheit der Installation und Bedienung hat stark dazu beigetragen, dass sich WordPress im Internet zu einer starken Größe etabliert hat. Viele Webseiten sind damit ausgestattet.

Kleine Firmen nutzen für ihre erste Webseite dieses CMS, denn mit nur wenigen Klicks ist die Internetseite erstellt und mit den vielen Plugins lässt sich der Funktionsumfang stark erweitern.

Die große Verbreitung von WordPress macht die Software interessant für Angreifer. Hacker freuen sich regelrecht auf so weit verbreitete Systeme. Wenn dort eine Sicherheitslücke bekannt wird, lassen sich gleich viele Webseiten angreifen und vielleicht sogar übernehmen. Umso wichtiger ist es, solchen Angriffen aus dem Internet vorzubeugen und zu wissen, wie sicher die eigene WordPress-Installation ist.

Eigene Webseite auf Sicherheitslücken untersuchen und vor Angreifern schützen

Um die eigene Webseite vor Angreifern zu schützen, gibt es verschiedene Wege. Der wichtigste Punkt ist es, die Software aktuell zu halten und regelmäßig die Updates zu installieren. Außerdem sind schwierige Passwörter wichtig für das Sicherheitskonzept. Die besten Sicherheitsmaßnahmen nützen nichts, wenn die Passwörter leicht zu erraten sind.

Um die Sicherheit auf der eigenen Webseite zu erhöhen, muss man zunächst die Schwachstellen kennen. Die Sicherheitslücken von WordPress kann man mit dem Programm wp-Scan aufdecken. Das kleine Tool untersucht WordPress-Installationen und zeigt Sicherheitslücken auf. Solche Scans sollte man von Zeit zu Zeit durchführen, um den Überblick zu behalten.

Um einen Angreifer entgegentreten zu können, sollte man seine Werkzeuge kennen. Wenn man diese Werkzeuge kennt, kann man sie selbst einsetzen und kämpft mit gleichen Waffen. wpscan ist dann schon der erste wichtige Schritt. Denn diese Software wird gerne verwendet, um verwundbare WordPress-Seiten zu finden.

Sicherheitsmaßnahmen überprüfen

Es gibt viele Plugins, die einem höhere Sicherheit für WordPress versprechen. Es gibt zum Beispiel Erweiterungen, die die WordPress-Version der Webseite verschleiern sollen. Außerdem können angeblich Benutzernamen versteckt werden. Auch den Namen „admin“ sollte man vermeiden.

Diese Sicherheitsmaßnahmen sind sehr gut, doch ihre Wirksamkeit kann man nicht einfach überprüfen. Mit wpscan kann man es, denn das versucht über verschiedene Wege, Infos aus der Webseite zu crawlen. Die Sicherheitsmaßnahmen der Plugins kann man sofort feststellen, indem man seine Seite mit wpscan überprüft.

Installation von wpscan

Wpscan ist ein Projekt für UNIX und ist leider nicht auf Windows lauffähig. Um es unter Windows nutzen zu können, könnt ihr euch in einer Virtuellen Box eine Linuxdistribution installieren und von dort aus mit der Anleitung fortfahren.

Schritt 1: Die Installation der Abhängigkeiten von wpscan könnte ihr unter Ubuntu mit folgendem Befehl tun. Das Projekt läuft über git, daher wird es mit installiert.

sudo apt-get install git libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential libgmp-dev zlib1g-dev

Schritt 2: Das Programm selbst installiert man mit folgenden Befehlen in der Kommandozeile:

git clone https://github.com/wpscanteam/wpscan.git
cd wpscan
sudo gem install bundler && bundle install --without test

Schritt 3: Ausführen kann man das Program mit folgenden Befehlen. Es gibt jetzt eine Liste mit interessanten Meta-Informationen über die WordPress-Seite aus: Welche Version ist installiert, welches Theme, welche Plugins und welche Versionen jeweils. Es zeigt sogar an, ob es die aktuelle Version ist, oder ob es Updates davon gibt.

Unsichere WordPress Plugins, Themes und Benutzer entdecken

ruby wpscan.rb --update
ruby wpscan.rb --url http(s)://www.deineSeite.com --enumerate p

Die Ausgabe sieht danach etwa so aus.

Wordpress Sicherheitslücken mit wpscan finden

Gleiches Prinzip gilt für die Suche nach installierten Themes

ruby wpscan.rb --url http(s)://www.deineSeite.com --enumerate t

oder nach Benutzern

ruby wpscan.rb --url http(s)://www.deineSeite.com --enumerate u

Fazit

Das Programm ist sehr mächtig und zeigt einem erstmal, wie verwundbar eine WordPressseite eigentlich ist. Dadurch wird es offensichtlich: man sollte seine Installation sauber halten. Je mehr Plugins man installiert, desto angreifbarer wird die Seite. Jedes Plugin birgt potentielle Sicherheitslücken, die mit wpscan offensichtlich werden.

Es ist wichtig, die Webseite abzusichern. Wenn die Webseite übernommen wird, können Kriminelle ihre verbotenen Daten über den Server verteilen. So wird man schnell zum Mittäter, was sehr gefährlich werden kann.

Ein Schritt gegen Brute-Force Attacken ist der Schutz der wp-login.php, der Schlüsseldatei beim regulären Login auf WordPress. In einem Artikel zu diesem Thema erläutere ich, wieso es so wichtig ist, diese Datei zu schützen. Außerdem zeige ich, wie man mit der .htaccess-Datei die Schutzfunktion von Apache nutzt, um die wp-login.php vor Brute-Force-Angriffen zu schützen.

Weitere Sicherheitsmaßnahmen sind wichtig. Diese kann man mit wpscan direkt testen, was die Wirksamkeit sofort zeigt. Um die Sicherheit von WordPress zu verbessern, sollte man sich mit wpscan befassen.

The post WordPress Sicherheitslücken finden first appeared on bejonet.

WordPress Sicherheit erhöhen mit .htaccess – so geht’s in 4 Schritten!

Von: Benni
21. Januar 2017 um 11:12

Angreifern von WordPress keine Chance geben

WordPress Seiten findet man immer häufiger im Internet. Das schlanke CMS ist sehr einfach zu bedienen und deshalb auch für Einsteiger interessant. Auch Firmen nutzen zum Start ins Internet sehr oft WordPress und tragen so zur rasanten Verbreitung bei. Die vielen Installationen von WordPress machen das Content-Management-System auch für Angreifer interessant. Die Bedienung von der Software ist so einfach, dass auch Web-Anfänger WordPress installieren und sich danach wenig um die Updates kümmern. Das öffnet Angreifern Tür und Tor.

Angreifer wollen euren Speicherplatz

Auch bei aktuell gehaltener Software und einer Minimalanzahl von Plugins gibt es genügend Schwachstellen, die man angreifen kann. Die größte Schwachstelle – und da kann WordPress selbst leider wenig machen – ist der Benutzer selbst. Durch zu leichte Passwörter lassen sich viel zu einfach Webseiten übernehmen.

Warum sollte jemand meine Webseite hacken?

In wenigen Ausnahmefällen interessiert sich der Angreifer tatsächlich für diese spezielle Webseite. Ein Wettbewerber könnte bei einer Firma gezielt Falschinformationen verbreiten, um sich selbst als besser da zu stellen. Das kommt vermutlich eher seltener vor.

In den allermeisten Fällen interessiert sich der Angreifer nicht für die eigentliche Webseite. In erster Linie geht es um die Übernahme des Servers bzw. zumindest des Speicherplatzes. Wer ins Backend von WordPress kommt, hat die Berechtigung, Dateien hochzuladen. Das ist ganz interessant, vor allem wenn es um urheberrechtlich geschütztes Material geht. Noch brisanter wird es, wenn es um illegale Daten geht, etwa gewaltverherrlichende Videos oder Kinderpornografie.

Als dritten Grund möchte ich Suchmaschinenoptimierung nennen. Wer von vielen Internetseiten Links auf seine Seite erhält, wird bei Google besser gerankt. Wer viele Zugangsdaten zu Webseiten hat, kann auch viele Links streuen und damit besser bei Google gefunden werden.

Wie kann ich Angreifer abhalten?

Es gibt sehr viele Sicherheits-Plugins für WordPress, die einem das Blaue vom Himmel versprechen. Zweifelsohne: Einige davon mögen hilfreich sein. Effektiver ist es aber, die Sicherheitsfunktion des Servers zu nutzen. Diese schützen auch vor so genannten Brute Force Attacken, bei denen Angreifer mit viel Rechenpower versuchen, die Passwörter zu erraten.

Sicherer Schutz der WordPress Anmeldeseite durch .htaccess

Mit der .htaccess-Datei kann man die Sicherheitsfunktion des Servers nutzen. Dabei ist das Prinzip so: Wenn man sich bei WordPress einloggen möchte, wird die Datei wp-login.php verwendet. Ohne diese Datei kann man sich nicht im Backend einloggen. Mit der .htaccess-Datei gibt man dem Server die Anweisung, dass nicht jeder auf diese Datei zugreifen darf. Wer diese Datei aufruft, muss seine Berechtigung dazu nachweisen – über einen Benutzernamen und Passwort.

.htaccess- und .htpasswd-Datei erstellen

Mit zwei einfachen Textdateien kann man den Serverschutz aktivieren.

  • .htaccess aktiviert das zugehörigen Servermodul und startet damit den Schutz der wp-login.php
  • .htpasswd enthält die Benutzernamen und (verschlüsselte) Passwörter, die den Zugang zu wp-login.php gewähren.

Schritt 1: Zunächst erstellt man die .htpasswd. Mit z.B. dem htpasswd-Generator kann man das Passwort verschlüsseln lassen und im Editor von Windows speichern. Mehrere Einträge sind möglich und sollten untereinander in die Datei geschrieben werden. Speichert die Datei unter dem Namen a.htpasswd auf dem Rechner ab.

htpasswd Datei Inhalt und WordPress schützen

Schritt 2: Jetzt erstellt man die .htaccess-Datei und füllt sie mit folgendem Inhalt. Speichert sie unter dem Namen a.htaccess auf dem PC ab.

# Stop Apache from serving .ht* files
<Files ~ "^.ht">
Order allow,deny
Deny from all
</Files>
&nbsp;
# Protect wp-login
<Files wp-login.php>
AuthUserFile /pfad/zur/.htpasswd
AuthName "Private access"
AuthType Basic
</Files>

Die Zeile die mit AuthUserFile anfängt, muss natürlich angepasst werden. Wenn ihr nicht wisst, wie der genaue Pfad dorthin lautet, erstellt fix eine PHP-Datei (zum Beispiel „pfad.php“) mit folgendem Inhalt, ladet sie mit FTP hoch und ruft sie im Browser auf (www.example.com/pfad.php). Löscht die Datei danach gleich wieder!

<html> 
<head> 
<title>absoluter-pfad</title> 
</head> 
&nbsp;
<body> 
<?php 
&nbsp;echo $_SERVER['DOCUMENT_ROOT']; 
?> 
</body> 
</html>

Schritt 3: Beide Dateien, a.htaccess und a.htpasswd werden mit FTP im WordPress-Hauptverzeichnis abgelegt.

Mit FTP die htaccess-Datei in das WordPress Hauptverzeichnis ablegen

Schritt 4: Benennt beide Dateien auf dem Server um, indem ihr das a vor dem Punkt entfernt. Die Dateien heißen jetzt .htaccess und .htpasswd und entfalten ihre Funktionen.

Hinweis: Falls dort schon .htaccess ist, öffnet die alte Datei und fügt den neuen Inhalt unten drunter hinzu!

Wie schützt mich die .htaccess-Datei vor Angreifern?

Professionelle Angreifer sitzen nicht mehr selbst am PC und versuchen die Passwörter zu knacken. Stattdessen nutzen sie Bot-Netzwerke und greifen automatisiert WordPress-Seiten an. Die Bots suchen gezielt nach einfachen Systemen und nutzen Schwachstellen von WordPress. Wenn dieser Bot nun auf das zusätzliche Sicherheitssystem stößt, bricht er entweder ab, oder er bricht sich die Zähne aus.

Was kann ich für meine Sicherheit tun?

Das wichtigste ist natürlich, die Software aktuell zu halten. Die Entwickler von WordPress bringen immer mal wieder Updates für die Software heraus, die man stets installieren sollte. In den meisten Fällen geht es dabei um Sicherheitsupdates.

Weiterhin sehr wichtig sind sichere Passwörter. Noch ist diese Botschaft nicht bei jedem angekommen, denn viel zu viele Leute verwenden viel zu einfache oder zu kurze Passwörter.

❌
❌