Dipl.-Inform. Carsten Eilers

WordPress ist gefährdet. Nicht, weil es besonders unsicher ist. Sondern weil es zum einen extrem weit verbreitet ist und das zum anderen dazu führt, dass es immer veraltete und damit unsichere Installationen gibt. Die dann ein leichtes und verlockendes Ziel für die Cyberkriminellen sind. Und was die wollen, ist klar: Geld verdienen. Entweder direkt, indem sie über Ransomware die Website-Betreiber erpressen. Oder indirekt, indem sie die WordPress-Websites für Drive-by-Infektionen, bösartige SEO oder ähnliches nutzen und darüber Geld verdienen.

Was kann man dagegen tun?

Nun, zunächst mal WordPress-Core, Themes und PlugIns immer aktuell halten, damit man nicht Opfer eines Angriffs auf eine eigentlich schon behobene Schwachstelle wird.

Das schützt natürlich nicht vor 0-Day-Angriffen auf bisher unbekannte Schwachstellen wie z.B. 2015 auf die XSS-Schwachstelle im genericons-Package. Deshalb ist es wichtig, den Server zu härten, wie es z.B. von WordPress selbst oder sucuri beschrieben wird.

Und wenn es zum äußersten kommt und der Server kompromittiert wurde, gilt es, besonnen, aber zügig zu handeln. Wie, beschreibt z.B. WordPress selbst. Sehr hilfreich ist es dann, ein möglichst aktuelles Backup zur Verfügung zu haben. Und zwar nicht auf dem Server, wo es womöglich auch kompromittiert oder beschädigt wurde.

Und hier noch die Links und Literaturverweise aus dem Artikel:

• [1] Mark Maunder; Wordfence Blog; 15.8.2017: "Ransomware Targeting WordPress – An Emerging Threat"
• [2] GitHub: bug7sec/Ransomware: Bug7sec Team - ransomware open source (web)
• [3] WordPress.org: "WordPress 4.7.2 Security Release" vom 26. Januar 2017 auf archive.org
• [4] WordPress.org: "Disclosure of Additional Security Fix in WordPress 4.7.2"
• [5] WordPress.org: "WordPress 4.7.2 Security Release", aktuelle Version
• [6] BSI: Kurzinfo CB-K17/0154
• [7] BSI: Kurzinfo CB-K17/0154 Update 1
• [8] Marc-Alexandre Montpas; sucuri Blog: "Content Injection Vulnerability in WordPress"
• [9] Daniel Cid; sucuri Blog: "WordPress REST API Vulnerability Abused in Defacement Campaigns"
• [10] Daniel Cid; sucuri Blog: "RCE Attempts Against the Latest WordPress REST API Vulnerability"
• [11] Akshat; BlogVault Blog: "Security Notification"
• [12] BlogVault Security Updates
• [13] BlogVault Security Updates FAQs
• [14] Akshat; BlogVault Blog: "BlogVault Security Update"
• [15] BlogVault Security Updates FAQs (eine andere FAQ als [13])
• [16] David Dede; sucuri Blog: "JetPack and TwentyFifteen Vulnerable to DOM-based XSS"
• [17] Mark Maunder; WordFence Blog: "Hacking 27% of the Web via WordPress Auto-Update"
• [18] PHPMailer < 5.2.18 Remote Code Execution [CVE-2016-10033]
• [19] Dawid Golunski; OSS Security Mailinglist: "PHPMailer < 5.2.18 Remote Code Execution [CVE-2016-10033]"
• [20] Michael Helwig; Mailingliste Bugtraq: "WordPress Plugin event-registration 6.02.02: SQL-Injection and persistent XSS"
• [21] Michael Helwig; codemetrix.net: "Hacking Wordpress via XSS (Plugin: Event-Registration)"
• [22] Daniel Cid; sucuri Blog: "Security Advisory: XSS Vulnerability Affecting Multiple WordPress Plugins"
• [23] Daniel Cid; sucuri Blog: "Slider Revolution Plugin Critical Vulnerability Being Exploited"
• [24] Tony Perez; sucuri Blog: "SoakSoak Malware Compromises 100,000+ WordPress Websites"
• [25] Daniel Cid; sucuri Blog: "RevSlider Vulnerability Leads To Massive WordPress SoakSoak Compromise"
• [26] Peter Gramantik; sucuri Blog: "Fake Plugins, Fake Security"
• [27] Mark Maunder; WordFence Blog: "Display Widgets Plugin Includes Malicious Code to Publish Spam on WP Sites"
• [28] WordPress.org: "Hardening WordPress"
• [29] sucuri: "An Introduction to WordPress Security"
• [30] WordPress.org: "FAQ My site was hacked"

Carsten Eilers

Kategorien: Drucksache

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks