Plugins für WordPress und Vorgehensweisen zum Schutz vor Angriffen

Mögliche Bedrohungen

Alles, was mit WordPress kommt, könnte auch Ziel von Angriffen sein:

  • die Datenbank
  • die Dateien auf dem Dateisystem des Webservers
  • der Verkehr

In allen Fällen können die Daten ausspioniert, manipuliert oder zerstört werden.

Tipp/Kandidaten

Das Plugin WP Security Scan gibt eine gute Übersicht über mögliche Schwächen bei den oben genannten typischen Angriffpunkten. Zudem unterstützt es auch erste Maßnahmen wie die Umbenennung von Datenbankpräfixen oder das Setzen von stärkeren Passworten.

Das Ergebnis eines Scans kommt in folgender Form:

WP Security Scan Screenshot

 

Schutzmaßnahmen

Datenbankpräfixe

Das System WordPress ist natürlich auch in Hackerkreisen bekannt. Weit verbreitet – weil im Standard so installiert – sind die Datenbankpräfixe. Das bedeutet: Alle Tabellen in der WordPress-Datenbank fangen mit einer identischen Vorsilbe „wp_“ (ohne die Anführungsstriche) an.  Das ist recht sauber. Aus der Sicht der inneren IT-Hygiene vorbildlich. Dummerweise muss man zum Schutz gegen äußere Angriffe häufig Kompromisse machen: Natürlich sind Logins und Passworte immer ein unerwünschtes Usability-Problem – noch dazu, wenn sie möglichst kryptisch sein sollen.  Natürlich erleichtert so ein genormter Datenbankname auch dem äußeren Angreifer sein Vorhaben.

Mit den Präfixen sind dem Kenner von WordPress natürlich zahlreiche Datenbanknamen in Gänze bekannt, denn viele Suffixe stehen ohnehin fest.  Damit kann man sich als Angreifer leicht in den SQL-Datenstrom einmischen. Es gibt sogar Skripte auf Hackerseiten, die diese Funktionalität zur Verfügung stellen.

Beispiel Organisierte Kriminalität

Bereits ein kleiner Eingriff in einen Wert der Tabelle wp_options erlaubt es einem Angreifer zum Beispiel, eine Website auf seine Domain umzuleiten. Er muss dazu nur, an der besagten Stelle den Namen der Domain gegen einen seiner Wahl austauschen. Macht ein Angreifer das mit sehr vielen Domains und läßt alle enführten Seiten auf eine bestimmte zeigen, kann er diese Seite damit praktisch vom Netz abschneiden. Sie ist nicht mehr erreichbar. Ähnlich wie beim Telefon, wo auch besetzt ist, wenn ein andere Anrufer zuvor die Nummer gewählt hat. Durch ständiges Anrufen und Klingellassen kann man so einfach erreichen, dass der Anschlußinhaber de facto nicht mehr erreichbar ist. Dasselbe Prinzip wird auch hier angewandt.  Was hat der Angreifer davon? Bestimmte Kreise der organisierten Kriminalität erpressen Website-Betreiber damit, dass sie zu einem bestimmten Zeitpunkt offline sind. Das ist insbesondere bedrohlich, wenn  das Unternehmen gerade vor besonderen Aktionen steht – etwas Olympische Spiel zu promoten sind, Konzertkarten nicht verkauft werden können, Reisedaten verfallen etc. Gegen Lösegeld unterlassen die Erpresser dann gnädig den Angriff.

Was hat das mit WordPress zu tun? Ein fahrlässig offenes System, unterstützt Kriminelle bei solchen Handlungen. Ein Opfer bzw. Ermittlungsbehörden könnten einen Betreiber dazu auffordern mehr gegen solche Einfallstore zu tun.

Ein zuverlässige Beschreibung zur Änderung der Datenbankpräfixe und der abfragenden Stellen im WordPress-System gibt es z.B. bei Tdot (http://tdot-blog.com/wordpress/6-simple-steps-to-change-your-table-prefix-in-wordpress).

Dateisystem

Das System WordPress legt zwangsläufig Dateien in einem Dateisystem ab. Diese Dateien liest ein Server auf Anfrage ein und liefert sie dem Anfragenden aufbereitet aus. Das ist vereinfacht gesagt, der ganze Vorgang beim Surfen im WWW.

Ebenso wie die Dateien in das Serververzeichnis gelangen, können auch weitere Dateien dorthin kommen oder vorhandene Dateien wiederum in schadhafter Weise verändert werden.

Auch dies kann man zumindest erschweren. Hierzu hilft es schon, wenn die Zugriffsrecht möglichst streng gesetzt sind, so dass

  • kein anderer web-basierter Prozess einfach Änderungen an den Server-Dateien vornehmen kann
  • möglichst wenige User auf dem Serversystem Zugriff auf die Daten haben

Der Blog von Stefan Murawski zeigt einige Methoden zur Absicherung auf Datensystem-Ebene.