Photo by Ricardo Resende on Unsplash

Nach Jahren der Ruhe war es neulich mal wieder soweit: erfolgreiche Angriffe auf Webseiten, durch Missbrauch einer nicht ausreichend beachteten Sicherheitslücke. Diese führte dazu, dass im Rahmen einer konzertierten Aktion hunderttausende weniger bis gar nicht gewartete WordPress-Webseiten „gehackt“ wurden. Grund zur Sorge? Nein – aber Anlass, mit Mythen übers sog. Hacking aufzuräumen und gleichzeitig zu informieren, welche mögliche Schwachstellen es gibt und wie man sich (noch besser) schützen kann.

Der Anlass

Nachdem ich mich vor ca. drei Jahren näher mit dem Thema IT-Sicherheit und WordPress-Seiten auseinandersetzen musste, weil einige meiner Webseiten-Kunden „gehackt“ wurden (es wurde nicht autorisierte Schadsoftware auf den Webservern installiert), fühlte ich mich nach erfolgreicher Problemlösung relativ sicher. Das war auch gerechtfertigt und so beachtete ich das Thema nicht mehr so intensiv. Bis ich vor einigen Tagen unsanft daran erinnert wurde, dass Sicherheit dauerhaft ein Thema sein wird, solange es Software, das Internet und Interessen an Ressourcen gibt.

Was war geschehen?

Ein Sicherheitstool meldete mir routinemäßig die Anmeldung eines neuen Benutzers mit Administratorrechten auf einer der von mir weniger betreuten Webseiten. Bei näherem Hinsehen entdeckte ich, dass dies wohl ein erfolgreicher Angriff war und zum anderen bis dahin freundlicherweise kein weiterer Schaden entstanden war.

Es sollte eine lange Nacht werden, denn bereits kurz danach konnte ich zwei weitere Webseiten mit derselben Angriffssignatur ausmachen, die ich ebenso gegen diese Attacke stabilisieren musste. Zu diesem Zeitpunkt wusste ich noch nicht, wie genau es der Angreifer (Hacker bzw. eher „Cracker“) geschafft hatte, an den dort installierten und durchschnittlichen, in diesen Fällen jedoch nicht ausreichenden Schutzmechanismen vorbei zu kommen. Denn auch wenn mein Alarmsystem anschlug, so wäre es natürlich wünschenswert, wenn es erst gar nicht zu einem Durchbruch gekommen wäre.

Einige Zeit später verstand ich den Angriffspfad und konnte die Sicherheitslücke schließen. Ein zunächst spannendes aber irgendwann auch langweilendes Battle: genügte mein verbesserter Schutz? Man muss immer nur mindestens einen Schritt weiter sein als der oder die Angreifer.

In diesem konkreten Fall handelte es sich – *gähn – lediglich um ein nicht aktualisiertes plugin, dessen Sicherheitslücke ermöglichte, über eine Art „Hintertür“ (admin-ajax.php) Schadcode direkt auf der WordPress-Installation auszuführen. Also ein ganz gewöhnlicher Fall, einfach für den „Hacker“ bzw. das angreifende Programm.

Der konkrete Angriff im Detail (nur für Technik-affine Leser)

Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern nach Zutritt die erschlichenen Rechte zu nutzen, um dadurch autorisiert Schadcode zu installieren. Damit werden gefährdete Webseiten weiter infiziert. In diesen Fällen wird die Möglichkeit, beliebige Optionswerte zu aktualisieren, genutzt, um neue Administratorkonten auf den betroffenen Websites zu installieren.

Durch die Nutzung dieses Fehlers, um die Option users_can_register auf 1 zu setzen, und die Änderung der default_role neuer Benutzer auf „Administrator“ können Angreifer das Formular unter /wp-login.php?action=register einfach ausfüllen und sofort auf ein privilegiertes Konto zugreifen. Von diesem Zeitpunkt an können sie diese Optionen wieder auf normal setzen und ein bösartiges plugin oder Thema installieren, das eine Web-Shell oder andere Malware enthält, um die Opferseite weiter zu infizieren.

Quelle: https://www.wordfence.com/blog/2018/11/privilege-escalation-flaw-in-wp-gdpr-compliance-plugin-exploited-in-the-wild/ oder auch https://www.heise.de/security/meldung/Schwerwiegendes-Schwachstelle-in-DSGVO-Plugin-fuer-WordPress-4217962.html

Was ist überhaupt „hacken“ – Mythen und Realität zu Angriffen auf WordPress-Seiten

Mythos #1: Ein Nerd hackt mich!

Das Klischee eines Hackers ist ein meist junger, hagerer oder übergewichtiger, hochintelligenter, wenig sozialisierter Nerd, der im geheimem Keller wild auf seine Tastatur eintrommelt und verwahrlost zwischen Pizzakartons auf seinen flimmernden Röhrenbildschirm mit grüner Schrift starrt, während er sich zu hoch abgesicherten Firmennetzwerken mit Leichtigkeit in kürzester Zeit illegalen Zutritt verschafft.

Wenn eine WordPress-Seite angegriffen wird, handelt es sich allerdings meist nicht um Einzelpersonen, sondern oft um eine beauftragte (ausländische?) Agentur, die für bestimmte kriminelle Zwecke sog. Bot-Netze für großflächig angelegte Attacken vorbereitet. Hier geht es um’s Geschäft. Es ist also nichts persönliches.

Mythos #2: Professionelle Software ist fehlerfrei

Wer einen Computer hat, weiß, wie oft dieser oder dessen Programme abstürzen. Software kann niemals 100% fehlerfrei sein, dazu ist sie zu komplex und die unendlichen Kombinationen und Einflüsse verunmöglichen sichere Fehlererkennung und -behebung.

Mythos #3: Eine Webseite kann man 100% absichern!

Man kann Software und Webseiten sicherer machen, aber niemals garantieren, dass diese nicht erfolgreich angegriffen werden könnten. Auch Konzerne, die Millionen in IT Sicherheit stecken, werden gehackt wie facebook oder das Pentagon.

Anders als bei dieser Art von Zielen ist üblicherweise der Schaden an einem WordPress-Internetauftritt eher überschaubar. Es ist mehr der Missbrauch von Ressourcen, als ein tatsächlich herber Image- oder finanzieller Verlust.

Bei der IT Sicherheit ist es wie bei der Rüstung:

  1. man sollte immer mindestens einen Schritt mehr vorgesorgt haben als der Angreifer Angriffsoptionen für sich nutzt.
  2. Weiterhin werden die einfach zu knackenden, weil ungesicherten oder ungenügend abgesicherten Webseiten eher Opfer eines Angriffs. Daher – böse 😉 – sollte man eben mehr tun als der Durchschnitt der anderen. Den letzten beißen die Hunde.

Mythos #4: Nur krasse Hackerprofis können Webseiten hacken!

Es gibt Hacker, die eine Ethik haben. Als Cracker bezeichnet man „kriminelle Hacker“, die von o.g. Agenturen beschäftigt werden, wobei das eine sehr grobe Vereinfachung ist.

Und es gibt sog. Script-Kiddies, deren Programmierfähigkeiten eher gering, dafür ihre Motivation ihr soziales Umfeld zu beeindrucken ungleich höher ist. Sie nutzen die gut dokumentierten Sicherheitslücken und „hacken“ mit Hilfe einfachster Tools und Code-Schnipsel (sog. Exploits) problemlos Webseiten, die an dieser Stelle angreifbar sind. Es ist also wahrlich keine Kunst, eine Webseite zu knacken, da es einfache Anleitungen gibt, wie genau man das Schritt für Schritt durchführen kann.

Mythos #5: Webseiten werden selten oder gar nicht angegriffen, dann aber richtig und erfolgreich

Nein. Alle WordPress-Webseiten, die ich mir bisher angeschaut habe, sind i.d.R. minütlichen Angriffsversuchen ausgesetzt. Von denen sind die wenigsten kritisch und ca. 10 bis 20% werden von einem richtig konfigurierten Standardsicherheits-plugin protokolliert geblockt. Die Zahlen können natürlich mitunter stark variieren und ich habe auch keine statistische Auswertung darüber. Webseiten, die ich beobachte und die gute Traffic haben und Relevanz bei google, werden meist durchgehend, manchmal im Sekundentakt, angegriffen – in aller Regel erfolglos.

Wer seine Webseite daraufhin überprüfen möchte, kann sich ein kostenloses Sicherheitsplugin wie Wordfence temporär installieren und sich die sog. Life-Traffic anschauen. Wichtig zu wissen: dieses Tool zieht Performance und folgt mit diesem feature auch nicht wirklich den Vorgaben der DSGVO. Sollte es dennoch verwendet werden und würde ein Anwalt in unserer verdrehten Welt den Schutz der Privatsphäre des armen Hackers über den Schutz der Webseitensicherheit stellen, könnte man sich berufen auf berechtigtes Interesse [in der Verwendung dieses Tools] im Sinne von Art. 6 Abs. 1 lit. f DSGVO. Am besten gleich in die Datenschutzerklärung einbauen. Allerdings bietet auch die Verwendung von Wordfence oder anderen bekannten Sicherheitsplugins für sich keinen ausreichenden Schutz gegen erfolgreiche Angriffe.

Welche Arten von Angriffen gibt es und warum?

DDoS – Der große Ansturm

Der Server, auf dem die angegriffene Webseite gehostet ist, wird in den meisten Fällen genutzt als Ablage von Schadsoftware zum Schaden gegen eine andere, prominente Stelle. Die „Hacker“-Agentur entwickelt den Code, der es ermöglicht eine Malware auf einem beliebigen Server unbefugt zu installieren. Dieser Code wird dann als automatisches Programm (=Bot) bei hunderttausenden WordPress-Seiten versuchen, sich Zugang zu verschaffen.

Mit gezielten Überlastungsangriffen sollen später durch den Angriff Webseiten, Dienste und Server mit diesen sog. Distributed-Denial-of-Service-Attacken (DDoS, gesprochen: Dieh-Doss) zeitweise unerreichbar gemacht werden. Durch einen massenhaften Aufruf eines Internetangebots oder eines ganzen Servers soll das Ziel überlastet und so lahmgelegt werden. Die so heruntergerungenen Betroffenen zahlen daraufhin manchmal ein „Erlösungsgeld“, das hoch, aber geringer als der potenzielle Schaden ist. Dies ist ein ganz einfaches Geschäftsmodell, manchmal auch politisch motiviert. Bekannte Fälle kann man alle paar Jahre in den Medien finden.

Als unbescholtener Webseitenbetreiber bemerkt das oft nur dann, wenn der Hoster einem die Webseite sperrt, um selbst über Verbreitung von Schadsoftware nicht Image einzubüßen und auf einer Blacklist zu landen.

Bad backlinks – die falsche Empfehlung

Die zweite Verbreitung von Angriffen gegen Internetseiten ist die Platzierung sog. backlinks, die von der gehackten auf Angebote wie z.B. dubiose Online-Apotheken oder Online-Casinos verweisen. Sind genügend dieser Linkverweise im Internet verteilt, werden die Suchmaschinen darüber getäuscht, dass die Wertigkeit der referenzierten Webseite sehr hoch sein muss – bei so vielen „Empfehlungen“. Dies bringt die (unseriöse) Webseite erhofft nach oben. Gleichzeitig gerät nach Entdeckung des Betrugsversuchs durch die Suchmaschinen die „gehackte“ referenzierende Webseite potenziell in Verruf und kann abgestraft werden – sehr ärgerlich. Man selbst bemerkt das, da die Inhalte der einzelnen Seiten gelöscht und/oder mit einem backlink versehen wurden.

Viele weitere Angriffspfade

Diese beiden genannten Angriffe sind bei weitem nicht die einzigen, aber die mit am häufigsten vorkommenden und sollten daher als solche betrachtet und ernst genommen werden.

Wie ist der Trend?

Ein Artikel von 2016 berichtet über einen starken Anstieg angegriffener Webseiten:
„Einer aktuellen Studie zufolge ist die Zahl der gehackten Webseiten im Jahr 2016 um über ein Drittel gestiegen. Eine Besserung sei nicht in Sicht. Immerhin würden aber rund acht von zehn der gewarnten Betreiber ihre Websites aufräumen und säubern.“

Da ein drittel aller Webseiten, Tendenz steigend, mit WordPress laufen, ist dies naturgemäß ein attraktives Angriffsziel: kennt man eine Lücke, kann man möglicherweise hunderttausende Webseiten mit demselben Schadcode infiltrieren. Hier ein paar Zahlen zu WordPress.

Wie hoch ist das Risiko?

Laut Internet Live Stats werden täglich zwischen 60.000 und über 100.000 von fast 2 Milliarden Websites weltweit erfolgreich gehackt, was ca. einer von 20.000 entspricht. Täglich. Das bedeutet, dass durchschnittlich pro Jahr 0,018% also eine von 5.479 Webseiten gehackt wird. In 10 Jahren wären das eine von 548. Vorausgesetzt diese Statistik stimmt auch nur annähernd, kann ich davon ausgehen, dass jede Webseite mindestens einmal in ihrer Lebenszeit erfolgreich angegriffen wird. Im Durchschnitt. Da WordPress-Seiten aufgrund ihrer Attraktivität eher ein Ziel von Angriffen sind, würde ich diese Zahl noch anpassen wollen. Sichert man dann eine Webseite gar nicht ab, erhöht sich die Wahrscheinlichkeit nochmals. Mit etwas „Glück“ rankt die Webseite allerdings so schlecht, dass sie schlicht von den Bots übersehen wird … 😉

Nur weil du paranoid bist, heißt das nicht, dass sie nicht hinter dir her sind.
(Quelle)

Hier ein schöner Vergleich und brauchbare Analyse zwischen drei verschiedenen Content Management Systemen in Puncto Sicherheit: WordPress, Joomla! und Magento, bei der WordPress deutlich als „Sieger“ (=relativ(!) am Wenigsten von Angriffen betroffen) hervorgeht.

Selbstredend werden gar nicht oder schlecht abgesicherte Webseiten häufiger gehackt als gut gesicherte, was jeder Webmaster mit einer ausreichenden Anzahl an Kundendaten bestätigen wird. Und: einmal gehackt, wird diese Domain sicher für weitere Angriffe auf einer Hackerliste landen …

Wie hoch ist der Schaden?

Das kommt darauf an wie man ‚Schaden‘ definiert. Welche Schäden entstehen, wenn eine Webseite erfolgreich angegriffen wurde?

Legende: Grün – überschaubarer, Orange – mittlerer und Rot – größerer Schaden

  • Die Webseite fällt als Informationsmedium aus
  • Imageverlust, Angst vor „Ansteckung“
  • der Webhoster sperrt die Webseite bis zur Schadenbeseitigung
  • Die Webseite verkauft nicht und gewinnt keine oder verschreckt neue Kunden
  • Die Suchmaschinen entfernen die Schadsoftware verteilende Webseite aus ihrem Index und warnen vor deren Gefährlichkeit
  • Die Webseite muss bereinigt und anschließend wieder hergestellt werden, die Unterstützung erfahrener Fachkräfte wird benötigt
  • Mögliche Änderungen seit dem letzten Backup sind verloren
  • die Webseite muss komplett neu aufgesetzt werden, da kein Backup vorhanden ist
  • die Schadsoftware wurde nicht gänzlich gefunden, die Lücke nicht geschlossen, der Angriff wiederholt sich nach einiger Zeit

Wie kann man sich schützen – unsere Empfehlung

Realistisch würde ich sagen: man kann sich sehr gut schützen, kann aber nie sicher sein, nicht trotzdem Opfer eines Hacker-Angriffs zu werden. Hat man die Natur der potenziellen Angriffe und die möglichen Sicherheitslücken seines Systems verstanden, kann man Sicherungsstrategien einsetzen.

Das Wichtigste sind: die Software (WordPress und alle plugins) immer aktuell halten und Backups durchführen, die auch sicher und schadfrei wieder hergestellt werden können, was auch regelmäßig getestet werden sollte. Nur soviel plugins wie unbedingt nötig, dauerhaft nicht benutzte löschen, denn auch deaktivierte plugins können von außerhalb als Lücke genutzt werden.
Sucuri berichtet, dass 25% der gehackten WordPress-Seiten kompromittiert wurden, weil sie veraltete Versionen eines von nur drei beliebten plugins hatten.

Sichere Passworte sollten selbstverständlich sein und einige andere Besonderheiten in der Installation und Konfiguration bieten ausreichenden Schutz.

Dann bietet WordPress einige kostenfreie oder kostenpflichtige Sicherheitsplugins, die ziemlich viel Angriffe pauschal abhalten können, aber nicht immer zu empfehlen sind und oft mehr Sicherheit suggerieren als tatsächlich geboten.

Unsere Kunden werden über die Risiken aufgeklärt und können entscheiden, wie stark sie sich absichern und wieviel Risiko sie eingehen wollen. Wir bieten ab sofort Wartungsverträge sowie eine faire „Versicherung“ an, die für saubere Wiederherstellung der Webseite im unwahrscheinlichen Fall eines Angriffs sorgt. Von gänzlich ungewarteten Webseiten können wir leider nur abraten.

Wartungsfrei, mehr Sicherheit und schnellere Ladezeiten gefällig – gibt’s das?!?

Ein ganz besondere, ernsthafte Empfehlung für Webseitenbetreiber, die mit dem ganzen Kram wirklich nichts zu tun haben wollen und eine eher wenig interaktive Webseite haben ohne Kommentarfunktion, Kontaktformulare o.ä.:

  1. fast keine Wartungsaufwände mehr!
  2. vermutlich keinen Angriffen mehr ausgesetzt!
    und gleichzeitig auch noch
  3. schnellere Ladezeiten für besseres Surferleben!

DER ultimative Tipp für Webseiten mit geringer Funktionalität, deren Inhalte sich selten verändern, habe ich am Ende des folgenden Beitrags beschrieben.

Unser Fazit

Wartung ist lästig, kostet Zeit und macht keinen Spaß, vermutlich auch nicht ihrem Webmaster. Die Konsequenzen ungewarteter oder nicht abgesicherter Webseiten zu tragen ist allerdings in aller Regel noch aufwendiger und ärgerlicher.

Im nachfolgenden Beitrag stellen wir die wichtigsten Punkte unserer empfohlenen Sicherheitsstrategie im Einzelnen vor.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen