Hacker Angriffe auf WordPress: Auch deine Seite ist für Hacker interessant

WordPress Sicherheit: Auch deine Seite ist für Hacker interessant

28,4 Prozent der größten Webseiten weltweit laufen unter WordPress. Diese hohe Verbreitung macht WP-Seiten zum beliebten Ziel für Hacker. Gerade Betreiber kleiner Seiten wähnen sich häufig in Sicherheit, denn wer sollte schon einen Blog mit geringer Reichweite oder ohne sensible Daten hacken? Ich zeige dir heute, warum das ein gefährlicher Trugschluss ist, wenn es um WordPress-Sicherheit geht.

WordPress ist vor allem deswegen interessant für Angreifer, weil es so viele Seiten nutzen. Denn bei vielen Angriffsformen kommt es nicht auf die “Qualität” der gehackten Ziele an, sondern schlicht darauf, automatisiert so viele Seiten wie möglich infiltrieren zu können. Wie es aussehen kann, wenn eine Schwachstelle systematisch ausgenutzt wird, zeigt das Beispiel der Sicherheitslücke in WordPress 4.7.1. Unzählige Seiten wurden damals auf der Startseite mit dem Hinweis „hacked by“ verunstaltet.

Die Sicherheitsfirma Sucuri hatte die Schwachstelle gefunden und an WordPress weitergereicht. Und obwohl das Problem in WordPress 4.7.2 behoben wurde, wurden nach Bekanntwerden des Exploits Millionen von Seiten in sogenannten Defacement-Angriffen gehackt.

Das Beispiel verdeutlicht, dass wirklich jede WordPress-Seite für Angreifer interessant ist. Denn die Attacken laufen in den allermeisten Fällen völlig automatisch ab. Ich zeige dir heute, wie so ein Angriff aussehen kann, was das Ziel von Hackern ist und welche Folgen es für dich und deine Seiten haben kann, wenn deine Seite einmal erfolgreich gehackt wurde.

Hacker wollen deine WordPress-Seiten kapern

Wie gesagt: Meistens geht es gar nicht darum, wie groß die Seite ist oder was es dort zu holen gibt. Es werden einfach automatisiert sehr viele Websites angegriffen, die bestimmte Sicherheitslücken nicht gestopft haben. Ist die Seite erst einmal infiziert, kann sie beispielsweise für den Versand von Spam missbraucht werden oder verteilt selbst Malware – also Schadsoftware – an die Besucher der Seite.

So schaffen sich Hacker ein Netzwerk aus Malware-Lieferanten oder ein Botnet, das sie später für DDoS- oder Brute Force Attacken missbrauchen können. Die einzelne Seite ist also häufig nur als Teil eines großen Ganzen interessant. Und je mehr Seiten ein Angreifer kapert, bzw. infiziert, desto wertvoller wird seine Malware-Maschinerie.

Zahl der Angriffe auf WordPress nimmt zu

Tendenziell nimmt die Zahl der Angriffe auf Webseiten derzeit zu. So wurden laut Google 2016 32 Prozent mehr Seiten gehackt als noch 2015. Eine der häufigsten Angriffsarten waren die sogenannten Brute Force Attacken. Hier wird durch bloßes Raten versucht die richtige Kombination aus Login und Passwort einzugeben. Oder aber die Angreifer haben bereits Listen mit Passwörtern vorliegen, die sie durchprobieren.

Das unterstreichen auch die Zahlen des Sicherheitsanbieters Wordfence. Seit Monaten können die US-Amerikaner einen stetigen Anstieg dieser Angriffe auf WordPress verzeichnen.

Hacker Angriffe WordPress: Brute Force und Complex Attacks auf WordPress-Seiten von Dezember 2016 bis Januar 2017.
Im Gegensatz zu den Complex Attacks steigt die Zahl der Brute Force Attacken stetig an. Denn letztere sind nicht vom Vorhandensein spezifischer Sicherheitslücken abhängig.

Reichweite ist das Kapital von Hackern

Am Beispiel eines Botnets lässt sich das sehr gut illustrieren. Ein Botnet ist ein Netzwerk aus gekaperten Websites (wobei es sich auch um internetfähige Endgeräte oder Router handeln kann), das dazu benutzt wird, um bspw. DDoS-Attacken gegen Webseiten oder Server zu fahren. Dabei werden die Elemente des Botnets aktiviert und bombardieren das Ziel auf Kommando mit so vielen Anfragen, dass die Seite zusammenbricht oder der Server überlastet wird.

Je mehr Webseiten ein Hacker in sein Botnet aufnehmen kann, desto mächtiger und damit wertvoller wird es. Das heißt aber auch, dass das Kapern der WordPress-Installationen häufig nur der erste Schritt für Hacker ist. Im zweiten Schritt muss dann etwas geschaffen werden, das sich monetarisieren lässt.

Die drei Is: Informieren, identifizieren, infiltrieren

Grob lassen sich unspezifische WordPress-Hacks in drei Phasen unterteilen:

Hacker Angriffe WordPress: 3 Phasen eines prototypischen Angriffs auf WP
Sobald ein Angreifer eine Sicherheitslücke kennt, beginnt die eigentliche Arbeit: Er muss ein Programm schreiben, das herausfinden kann, ob die Schwachstelle vorhanden ist und diese dann automatisiert ausnutzt.

Phase 1: Informationen beschaffen

Im ersten Schritt sucht der Angreifer nach Wissen über bekannte oder unbekannte Schwachstellen in WordPress. Das ist z.B. über Plattformen wie die WPScan Vulnerability Database möglich.

Bei den Defacement-Attacken, die ich am Anfang des Posts schon erwähnt habe, hätte auch einfach ein Blick auf WordPress.org gereicht.

Phase 2: Angriffsvektoren identifizieren

Jetzt weiß ein Angreifer wo er ansetzen kann und muss in Phase 2 ein Skript schreiben, das es ihm ermöglicht aus der Masse an Seiten diejenigen herauszusuchen, die die Schwachstelle aufweisen. Bei den Defacement-Angriffen auf WordPress 4.7. und 4.7.1 war das ganz leicht über das Auslesen der WordPress-Version möglich.

Phase 3: Automatisierte Angriffe

Einmal gefunden, kann der Angreifer – wiederum automatisiert – die Seite hacken und die (un)erwünschten Veränderungen vornehmen. Einige typische Beispiele sind:

  • Datenklau: Ein Angreifer versucht sensible Daten von deiner Seite oder den Besuchern deiner Seite zu stehlen. Das können E-Mail-Adressen oder auch Bankdaten sein – im Prinzip ist aber alles interessant, was sich verkaufen oder weiterverwenden lässt. So kann ein Hacker z.B. ein falsches Formular auf deiner Seite platzieren, das alle eingegebenen Daten stiehlt. Und das in einer vollkommen vertrauenswürdigen Umgebung und auch noch SSL-verschlüsselt.
  • Kidnappen der Seite: Ein Angreifer kann deine WordPress-Seite in ein Botnet einbinden. Damit sichert sich der Hacker die Kontrolle über deine Seite und es ist ihm zum Beispiel möglich auf Kommando DoS- oder DDoS-Attacken mit ihr zu fahren.
  • Schadcode einschleusen: Hierbei wird Schadcode auf deiner Seite platziert. So kann ein Angreifer bspw. deine Werbeplätze für seine eigenen Zwecke missbrauchen oder aber Formulare auf deiner Seite platzieren, die die persönlichen Daten deiner Nutzer stehlen.

 

In den meisten Fällen kosten WordPress-Hacks Zeit und Geld

Welche Kosten durch WordPress-Hacker entstehen und welche direkten oder indirekten Folgen ein Angriff genau haben kann, kann man nicht pauschal sagen. Doch auf diese drei Folgen müssen sich gehackte Seitenbetreiber eigentlich immer einstellen:

1) Kosten für Wiederherstellung

Täglich finden Millionen von Angriffen auf WordPress-Seiten statt. Alleine der Plugin-Hersteller Wordfence misst für den April 2017 im Schnitt 35 Mio. Brute Force Attacken und 4,8 Mio. Exploit Attacken täglich. Soll heißen: Es gibt keine absolute Sicherheit. Du kannst lediglich die Wahrscheinlichkeit gehackt zu werden so gering wie möglich halten und entsprechende Mechanismen schaffen, die es dir im Fall der Fälle ermöglichen, deine Seite schnell wiederherzustellen.

Im besten Fall hast du ein Backup der Seite und kannst dieses einfach wieder einspielen. Sollten auch die Backups infiziert oder eine Wiederherstellung nicht möglich sein, wird’s schon aufwändiger. Dann fallen noch Zeit und Kosten für die händische Entfernung der Malware an.

2) Umsatzeinbußen

Je nach dem, welche Art von Schadcode eingespielt wurde und wie lange deine Seite gewartet werden muss, können dir auch Kosten in Form von entgangenen Umsätzen aus Werbung und Verkauf entstehen.

3) Vertrauensverlust

Google sieht alles: Eine gehackte Seite enthält häufig Schadcode, der Malware verbreitet. Wenn Google das erkennt – und du nichts dagegen tust – landet deine Seite auf einer Blacklist. Beim Aufruf des Internetauftritts erscheint dann für den Besucher ein Sicherheitshinweis mit der Warnung vor Malware oder Phishing. Das kann auch dazu führen, dass deine Search Engine Ranking Position (SERP) leidet und du deutlich an Reichweite verlierst.

Fazit: Angriffe auf WordPress-Seiten sind ganz normal

Dieser Artikel soll natürlich keine unbegründete Panik schüren. Was er aber verdeutlichen soll: Nur weil du eine “kleine” Seite hast, bedeutet das nicht, dass du dich nicht aktiv mit dem Thema Webseitensicherheit auseinandersetzen solltest.

So ist es beispielsweise wichtig zu wissen, dass das Gros der Schwachstellen durch regelmäßige Updates eliminiert werden kann. Und dass ein SSL-Zertifikat deine Seite nicht vor Hackerangriffen schützt.

Eingangs habe ich erwähnt, dass die schiere Größe von WordPress als CMS jede Seite zu einem potenziellen Ziel macht. Doch diese Größe bringt auch einen entscheidenden Vorteil mit sich: Eine weltweite Community aus Freiwilligen und den Mitarbeitern von WordPress-Unternehmen arbeitet rund um die Uhr daran, WordPress sicherer zu machen. Und so gibt es für jede Schwachstelle und für jedes Problem früher oder später eine adäquate Lösung.