WordPress ist aufgrund seines hohen Verbreitungsgrads natürlich auch hoch interessant für Angreifer und Botnetz-Betreiber. Ist eine mit WordPress gestaltete Site erst einmal unter der Kontrolle des Angreifers, missbraucht er die an sich harmlose Seite oftmals für den Versand von Spam-Nachrichten oder das Verbreiten von Malware.

Ein deutscher Security-Experte erläutert in seinem Blog, wie WordPress-Angriffe typischerweise stattfinden und wie sie abgewehrt werden können.

Fachmann Mike Kuketz beschreibt dazu einen mehrstufigen Penetrationstest. Zunächst werden Informationen über das Angriffsziel gesammelt und öffentliche Informationsquellen durchsucht. Diese Auswertung hilft dabei, den einfachsten Einbruchsweg zu finden. Als Handwerkszeug dient dem Angreifer hierbei die Linux-Distribution Kali, die alle Tools an Board hat. Gesammelt werden damit Informationen unter anderem über das Server-System, Anwendungsversion, verfügbare Netzwerk-Ports, laufende Services und Verteidigungsstrategien des Serverbetreibers.

Zu diesen Maßnahmen gehört oft das Verstecken der Versionsnummer von WordPress. Doch diese Security by Obscurity-Maßnahmen helfen wenig bis gar nicht: Infos über installierte Plugins liefert zum Beispiel Plecost. Diese lassen sich dann mit Detailwissen zu den jeweiligen Schwachstellen gezielt angreifen.

Ein Nmap-Portscan ist ebenfalls aufschlussreich, das eingesetzte Server-Betriebssystems liefert das OS-Fingerprinting. Um das Passwort für den Admin-Bereich zu knacken, reicht oft das Anhängen des Zusatzes “/?author=1” an die URL des Blogs. Rechtlich einwandfrei ist dies nur, wenn man Betreiber des betreffenden WordPress-Blogs ist. Wie Kuketz schreibt, bekommt bei einer Standard-Installation ein Administrator meist die eindeutige Identifikationsnummer „1“ zugewiesen. Falls nicht, könne man durch ausprobieren auch rasch ans Ziel kommen.

Kommt ein Security-Plugin zum Einsatz, werden die fehlgeschlagenen Zugriffsversuche mitgezählt und anfragende IP-Adressen für eine Stunde blockiert. “Script-Kiddies und dämliche Bots lassen sich von solchen Maßnahmen abschrecken – professionelle Angreifer hingegen weniger,” so Kuketz.

Die Gefahr eines Hacks ist umso größer, da diverse Hacker-Tools Plug-ins, Themes und WordPress-Versionen automatisch erkennen und auf Schwachstellen abklopfen. Dabei müssen diese Erweiterungen noch nicht einmal aktiviert sein, damit ihr Missbrauch klappt.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.