Wie in ersten Teilen schon beschrieben, ist das CRM System WordPress eines der beliebtesten Systeme, um eine Webseite selbst zu erstellen. Gleichzeitig gehen mit dieser Popularität auch einige Nachteile einher. Aus diesem Grund ist diese Plattform ein beliebtes Ziel für Hackerangriffe, die einzelnen Webseiten und deren Content schaden wollen. Der erste Teil und der zweite Teil beschreiben, wie Kriminelle es schaffen Webseiten anzugreifen und wird in diesem Blogbeitrag vervollständigt.

 

Supply Chain Attacks

Letztlich häuften sich Hackerangriffe, die sich einen Trick namens „Supply Chain“ zunutze gemacht haben. Einfach gesagt funktionieren diese Angriffe wie folgt:

Die Hacker kaufen eine hochwertige zusätzliche Software, welche man auf der Seite des Anbieters erwerben kann. Dann bauen sie eine „Hintertür“ ein, welche es ihnen ermöglicht, Webseiten mit diesem Plugin oder Theme einfach anzugreifen. Wenn nun die zusätzliche Software aktualisiert wird, ist ein perfekter Eingang für den Hacker zur jeweiligen Webseite geschaffen.
Diese Art ist zwar noch nicht wirklich ausgereift, aber dennoch sehr schwer zu verhindern. Denn die Schwachstelle für diese Angriffe entsteht eben aus der Intention heraus, die Webseite durch eine Aktualisierung zu schützen.
Das Team des Anbieters erkennt solche Supply Chain Angriffe meistens schnell und kann die zusätzliche Software dann eigenständig entfernen.

Die Gefahr durch solche Supply Chain Angriffe abzuwehren, gestaltet sich schwierig. Denn um Sicherheitslücken in der Webseite zu schließen, sind Aktualisierungen unbedingt notwendig. Vertrauenswürdige Plugins zur Sicherheit wie das von Wordfence kann Nutzer jedoch warnen, sobald der Anbieter ein Plugin entfernt hat. Zusätzlich kann man regelmäßige Backups nutzen, um die Webseite zu sichern und gegebenenfalls wieder herzustellen.

Schlechte Hoster und veraltete Technologien

Selbst der Hoster und die angewandte Technologie können große Schwachstellen für Hacker bieten. Beispielsweise bietet PHP7 eine wesentlich höhere Sicherheit gegenüber der Version PHP5. Dennoch wird PHP7 von nur etwa einem Drittel aller Seiten des Systems genutzt. Hier wird also massives Potenzial zur Sicherung der Webseiten verschenkt.
Offiziell lief der Support für Sicherheitsmaßnahmen bei PHP5 Anfang 2019 aus. Noch ältere Versionen genossen bereits jahrelang keinen Support für die Sicherheit mehr.
Letztlich setzen sich Betreiber von Webseiten mit dem Nutzen von der Hosting Umgebung PHP 5 großen Sicherheitslücken aus, die sie einfach beseitigen könnten.
Und dennoch verwenden über 28 % der Webseiten des Anbieters veraltete Versionen von PHP. Das ist ein großes Problem, da bei den alten PHP-Versionen in der letzten Zeit extrem viele Schwächen in der Sicherheit erkannt wurden.

Folgende Maßnahmen können die Sicherheit der Webseite ebenfall erhöhen:

Firewalls für Web-Anwendungen
Automatische Updates für Sicherheits-Releases
Zwei Faktor-Authentifizierung
Automatische Backups

Äußerst wichtig für eine sichere Webseite sind also die aktuellsten Versionen der benutzten Technologie, also beispielsweise PHP 7, sowie eine sichere Umgebung zum Hosten.

Wer ist dafür verantwortlich, dass WordPress geschützt bleibt?

Generell muss es aber einen Verantwortlichen für diese Sicherheitsmaßnahmen der zahlreichen Webseiten des Anbieters geben. Diesen stellt das offizielle Sicherheitsteam dar. Dennoch leisten viele einzelne Mitwirkende global einen großen Beitrag zur Sicherheit der Webseiten.
Das WordPress-Sicherheitsteam beinhaltet ungefähr 50 Experten. Dazu gehören Sicherheitsexperten und Lead Entwickler. Ungefähr die Hälfte der dort tätigen Entwickler arbeitet bei der Firma Automattic. Wiederum andere arbeiten in der Branche Internet Sicherheit. Das Sicherheitsteam berät zudem Forscher und andere Hosting Unternehmen.

Die allgemeinen Aufgaben des Teams lassen sich auf folgende zusammenfassen:

Das Team erkennt Fehler in der Software und korrigiert diese. Dazu nutzt es Werkzeuge wie beispielsweise „HackerOne´s bug bounties“. Außerdem hat es eine beratende Funktion bei allen neuen Kernsoftwares des Anbieters. Das Team unterliegt der Pflicht. Das bedeutet, dass sobald ein Fehler beseitigt wurde, dieser veröffentlicht werden muss.
Jedoch kontrolliert das Team nicht jedes einzelne Plugin und Theme auf der Webseite. Lediglich einige Freiwillige überprüfen diese ab und zu manuell. Diese freiwillige Überprüfung bietet dennoch keine Garantie zur Sicherheit.

Fazit

Abschließend sollte man also folgende Maßnahmen zur Sicherung von Webseiten festhalten. Die Software der Webseite sollten immer aktualisiert sein. Bei der Auswahl von zusätzlicher Software ist Vorsicht geboten. Man kann, trotz vielen vertrauenswürdigen Ergänzungen, nicht allen zusätzlichen Softwares vertrauen. Daher sollte man nur Plugins installieren, die von Entwicklern stammen, denen man zumindest vertraut. Daher gilt Vorsicht bei nulled zusätzlicher Software sowie GPL Clubs. Sollte es die Möglichkeit geben, zwischen SFTP und FTP zu wählen, sollte man sich in jedem Fall für SFTP entscheiden. Außerdem ist die Verwendung von wirklich sicheren Passwörtern zu empfehlen. Sollte sie verfügbar sein, ist immer eine Zwei Faktor Authentifizierung anzuwenden. In Sachen HTTPS sollte ein TLS-Zertifikat verwendet werden. So wird die Kommunikation der Webseite des Anbieters verschlüsselt und besser geschützt.
Die Verwendung von SSH Keys ist ebenfalls nur zu empfehlen. Diese ermöglichen es, sich ohne Passwort trotzdem sicher bei einem Server anzumelden.

Unter Beachtung all dieser Faktoren sollte es Webseite des Anbieters Hackern in Zukunft erheblich schwerer machen, sie erfolgreich zu hacken.