Über 40% aller Websites weltweit verwenden WordPress. Dieses Content Management System verdankt seine Popularität dem Open-Source-Codebasis und die Möglichkeit, die Kernfunktionalität der Website über Plugins von Drittanbietern zu erweitern - es gibt mehr als 59 Tausend offizielle Plugins sind derzeit verfügbar.

Plugins werden in den meisten Fällen von unabhängigen Softwareunternehmen und Fachleuten mit unterschiedlichem Fachwissen und Sicherheitsbewusstsein entwickelt. Bevor sie in die offizielle WordPress-Bibliothek aufgenommen werden, werden die Plugins geprüft, um sicherzustellen, dass sie wie vorgesehen funktionieren, aber auch, dass sie den Sicherheitsrichtlinien von WordPress entsprechen. Wie auch immer, nicht einmal das effizienteste Überprüfungsteam kann WordPress-Plugins unter dem Aspekt der Cybersicherheit testen und gewähren, dass sie 100% cybersicher sind. Berücksichtigen Sie auch Plugins werden nur beim ersten Hinzufügen geprüft in das WordPress-Repository.

Viele andere Plugins sind verfügbar außerhalb der offiziellen Bibliothek. In den meisten Fällen handelt es sich um geknackte oder alternative Versionen von kostenpflichtigen Plugins, die zwar kostenlos heruntergeladen werden können, aber möglicherweise Hintertüren enthalten. Aus diesen Gründen wird es Sie vielleicht nicht überraschen, dass im Jahr 2021 über 98% der Schwachstellen bezüglich WordPress-Websites waren mit Plugins verbunden.

Ein veraltetes Plugin entzündet die Kompromittierung der Website eines unserer Kunden. Während einer routinemäßigen Inhaltsaktualisierung konnte sein digitales Marketingteam nicht auf das Verwaltungspanel zugreifen: Die Anomalie war verdächtig genug, um umgehend eine Untersuchung dieses Problems zu veranlassen. Das Cybersicherheitsteam von Paradox Engineering analysierte den Fall, wies auf einen Cybersicherheitsvorfall hin und entdeckte zwei Angriffsvektoren mit unterschiedlichen Zielen.

Der erste Angriff richtete sich gegen Manipulation der Startseite der Website (so genanntes "Website Defacement"), das zweite war wahrscheinlich eine versteckte E-Commerce-Website zu hosten um illegale Waren zu verkaufen. Die Angreifer nutzten ein veraltetes und anfälliges Plugin aus um eine geänderte Konfigurationsdatei hochzuladen, die eine neue WordPress-Installation auf dem Host-Rechner auslöste. Der neue Installationsprozess ermöglichte es den Angreifern, weitere bösartige Dateien hochzuladen und die vollständige Kontrolle über die Website zu erlangen.

In weniger als einer Woche wäre die Website zu einer wertvollen Ressource in den Händen von Cyber-Kriminellen geworden. Glücklicherweise ging der Untersuchungsantrag nur wenige Stunden nach dem Hochladen der bösartigen Dateien bei PE ein, so dass es möglich war, die Verunstaltung der Website zu verhindern. Das frühzeitige Eingreifen verkürzte die Zeit der Kompromisse und führte zur Bereinigung der Website innerhalb weniger Stunden.

 

case study website defacement

 

Der Prozess des Vorfallmanagements von Paradox Engineering stützt sich auf NIST-Best-Practices um die Auswirkungen des Angriffs zu mildern und die Wiederherstellung zu beschleunigen. Der erste Schritt besteht darin, so viele Daten wie möglich über die im angegriffenen System aufgetretenen Ereignisse zu sammeln und relevante Informationen über die Angriffsvektoren zu extrahieren. Nach der Bewertung ist es wichtig, schnell alle notwendigen Eindämmungsmaßnahmen zu ergreifen, um weitere mögliche Angriffsbewegungen zu verhindern. Schließlich ist nach der Eindämmung eine tiefgreifende Untersuchung zur Ermittlung der Grundursache nützlich, um die beste Lösung und Abhilfemaßnahmen zu definieren, um ähnliche Angriffe in Zukunft zu verhindern.

 

7 Tipps zum Schutz Ihrer Website:

  1. Fortgeschrittene einsetzen Autorisierungs- und Authentifizierungsrichtlinien für die Sicherung von Websites - Bewahren Sie die Sicherungskopie an einem sicheren Ort auf (nicht von der Webinstanz aus zugänglich) und verwenden Sie stets Sicherungslösungen, die nicht von CMS-Plugins bereitgestellt werden
  2. eine Politik bevorzugen, die sich an den wichtigsten Grundsätzen der "Kenntnisnahme erforderlich" und "geringstes Privileg"
  3. installieren nur unbedingt notwendige Plugins und löschen Sie regelmäßig die, die Sie nicht benutzen
  4. behalten die CMS und Plugin aktualisiert. Es wird empfohlen, automatische Updates für Sicherheitspatches einzustellen und wichtige Versionen manuell anzuwenden
  5. haben eine Staging-Umgebung um jede Aktualisierung zu testen
  6. sammeln Log-Ereignisse für das Cybersicherheitsteam zur Aufdeckung von Anomalien
  7. einführen Mechanismus zur Erkennung von Änderungen (z. B. durch Hashes), um das Cybersicherheitsteam im Falle eines verdächtigen Zugriffs auf eine Website oder einer verdächtigen Änderung zu informieren

 

Erfahren Sie mehr über unser Cyber-Sicherheitsdienste und Kontakt zu unseren Experten um Rat und Hilfe zu bitten!