So stopfst du die 3 größten Sicherheitslücken von WordPress

In diesem Artikel verrate ich dir die drei größten Sicherheitslücken von WordPress und wie du diese stopfst. ACHTUNG: zwei der Lücken haben eigentlich gar nichts mit WordPress zu tun sondern … mit deinem Verhalten ?

Es ist noch nicht lange her, da reichte es einmal im Jahr ein Betriebssystem-Update am Computer zu machen. Heute vergeht keine Woche, in der nicht irgendwo ein Update eingespielt werden muss. Computer, Smartphones, Smart-TVs, Rasenmäher und seit Kurzem sogar meine Kaffeemaschine ? Alle Gadgets wollen Aufmerksamkeit – für die Sicherheit versteht sich.

Tatsächlich geht es oft um Sicherheitslücken, die gestopft werden. Insbesondere wenn das Update keine neuen Features mitbringt, ist klar worum es geht. 

1. WordPress Updates, Wartung, Pflege

Was für Kaffeemaschinen und Rasenmäher gilt, gilt auch für WordPress:

„Die wichtigste Technik, um WordPress sicherer zu machen: regelmäßig Updates einspielen!“

Was ist regelmäßig? Ich würde sagen, mindestens einmal im Monat die Updates für WordPress Core, Themes und Plugins einspielen. Damit sollten die größten Sicherheitslöcher bereits abgedeckt sein. Leider sehe ich viel zu oft, dass WordPress nicht gepflegt wird. Tu das nicht … bitte … im Interesse deiner Kunden und deines Unternehmens.

2. WordPress XML-RPC Schnittstelle

Jetzt kommen wir zu einem echten WordPress-Problem.

Brute-Force-Attacken nennt man den Versuch von Hackern, deine Login/Passwort Kombination durch stumpfes ausprobieren herauszubekommen.

Da das aber schnell langweilig wird, ständig neue Kombinationen in die WordPress-Login Seite einzutippen, machen die Hacker das automatisiert – geht auch tausendmal schneller.

Und das funktioniert bei WordPress besonders gut durch die sog. XML-RPC Schnittstelle.

Diese veraltete Schnittstelle wurde entwickelt, damit Drittanbieter-Software die WordPress-Seite fernsteuern können und lässt sich exzellent für Brute-Force-Attacken missbrauchen.

Um dieses Einfallstor zu schließen, sollte diese XML-RPC Schnittstelle deaktiviert werden.

Und so kannst du schnell und einfach prüfen, ob XML-RPC auf deiner WordPress-Seite deaktiviert ist: 

1. Gehe auf die Seite https://xmlrpc.eritreo.it/ 

2. Gebe die URL der WordPress-Seite, die du prüfen möchtest oben im Feld Address ein und klicke auf Check.

3. Falls der Test die XML-RPC Schnittstelle findet, zeigt er eine Congratulations-Meldung an. ACHTUNG: Congratulations ist in diesem Fall nicht gut! Das bedeutet der Test hat die XML-RPC Schnittstelle gefunden und das Einfallstor ist offen.

Aber wenn der Test ein Failed to check your site anzeigt, dann ist alles gut.

3. Geleakte Email/Passwort-Kombination

Diese Sicherheitslücke betrifft diejenigen, die immer das gleiche Password verwenden. Wenn du immer ein anderes Passwort verwendest, bist du schon gut sensibilisiert für das Thema und kannst meine folgende, leidliche Erfahrungsgeschichte zu dem Thema überspringen:

Auch ich hatte im jugendlichen Leichtsinn immer das gleiche Passwort verwendet. Eines Tages bin ich auf das Adobe Abo umgestiegen und damals wurde von Adobe auch nur Kreditkartenzahlung akzeptiert. Grummel grummel … passte mir eigentlich gar nicht, aber was solls: für mich war das Abo superpraktisch. Nicht einmal 14 Tage später erhielt ich die Meldung, dass der Adobe Server gehackt wurde und nun seine Kreditkarte tunlichst sperren sollte. 

Aber was richtig problematisch war: bei dem Hack sind sämtliche E-Mail/Passwort Kombinationen der Adobe-Kunden ausgelesen worden. Und da ich immer die gleiche Kombination verwendet habe, hatte ich jetzt ein Problem. Irgendjemand hat die Zugangsdaten für all die Webseiten, bei denen ich mich mal in der Vergangenheit angemeldet hatte. Die Anzahl der Seiten lag sicher im hohen zweistelligen Bereich mit teils sensiblen Kandidaten wie Banking, Shops mit hinterlegten Zahlungsdaten, Cookie-Clicker usw.

Seitdem gibt es bei mir kein wiederverwendetes Passwort mehr. Ich regle das Ganze mit einem Passwortmanager. Dieser Manager ist seither zu einem meiner wichtigsten Tools geworden. Ich verwende ihn bestimmt 10 bis 20 mal am Tag. Ich kann dir nur ans Herz legen, einen Passwort-Manager zu verwenden oder andere Strategien zu fahren, um kein Password mehrmals zu verwenden.

Wie kannst du nun überprüfen, ob das ein Problem bei dir sein könnte?

Gehe dazu auf die Webseite Have I Been Pwned. Sieht komisch aus, ist aber eine ganz seriöse Seite, die sogar vom BSI empfohlen wird.

Lasse deine E-Mail Adresse, die du auch zum Einloggen auf Webseiten verwendest, prüfen. Hinweis: bei WordPress kannst du auch deine hinterlegte E-Mail-Adresse zum Einloggen verwenden. Das Ergebnis zeigt dir, ob deine E-Mail schon einmal durch einen Hack als Datensatz irgendwo im Internet geleakt wurde.

Falls ja und falls es Passwörter gibt, die du mehrmals verwendest, dann empfehle ich jetzt tätig zu werden und sämtliche Passwörter auf deinen Webseiten zu ändern. Bei mir war das viel Arbeit. Man muss halt anfangen – ich habe z.B. jeden Tag eine Hand voll Webseiten in die Morgenroutine eingebaut, hat dann aber auch ein paar Wochen gedauert bis ich durch war. Beginne bei deiner WordPress-Seite und den Webseiten mit den sensibelsten Daten.

XML-RPC + geleakte Passwörter = Hackers best friend

Ich hatte ja oben bereits geschrieben, dass die Hacker automatisiert Logins über die XML-RPC Schnittstelle testen. Aber nicht einfach mit wahllosen Zeichenfolgen. 

Hier schließt sich nämlich der Kreis mit den Datensätzen der geleakten E-Mail/Passwort-Kombinationen. Diese Datensätze werden (gerne im Darknet) gehandelt, wie auf einem Basar. Der Hacker geht also einfach shoppen, und testet diese Datensätze mit seinen Tools an Webseiten aus. Irgendwo wird ein Login passen – die WordPress XML-RPC Schnittstelle macht das dem Hacker sogar besonders komfortabel, weil er hier sehr einfach automatisiert ansetzen kann.

Fazit

Zusammengefasst empfehle ich folgendes:

1. Spiele mindestens monatlich alle Updates ein. Wenn du das nicht schaffst oder kannst frage bei mir oder dem WordPress-Profi deines Vertrauens nach einem WordPress Wartungsangebot.
2. Deaktiviere WordPress‘ XML-RPC Schnittstelle. Auch hier kann ich dir weiterhelfen.
3. Verwende immer unterschiedliche Passwörter (ein Passwortmanager kann helfen).

Und wenn ich die XML-RPC Schnittstelle benötige?

Den Fall gibt es natürlich auch. Dann empfehle ich folgendes:

1. Nutze ein Hosting, das sich auf WordPress spezialisiert, da dieses sich mit den üblichen Einfallstoren von WordPress auskennt und entsprechende Maßnahmen auf seinen Servern eingerichtet hat. 
2. Versuche sobald wie möglich von der veralteten XML-RPC Schnittstelle wegzukommen. In dem Fall müssen wahrscheinlich Anpassungen im Code gemacht werden, um neuere Schnittstellen von WordPress zu nutzen. Sprich dazu mit deinem WordPress-Entwickler oder schicke mir eine Anfrage.

Diese 3 Sicherheistlücken sind aus der Erfahrung mit meinen Kundenprojekten die offensichtlichsten.

Es gibt noch eine ganze Reihe weitere technische und sogar auch nicht-technische Maßnahmen, um die WordPress-Seite sicherer zu machen. Wenn du ein Sicherheits-Audit für deine WordPress-Seite benötigst, dann nimm Kontakt zu mir über LinkedIn auf. Oder melde dich über mein Kontaktformular.

Ich hoffe, hier waren jetzt ein paar interessante Infos für dich dabei. Achte darauf, dass deine WordPress Seite rennt und ist sicher ist, denn deine Webseite ist heutzutage eines der wichtigsten Tools in deinem Marketing-Blumenstrauß ? ?

Bis bald
René