Skip to content

Drucksache: PHP Magazin 2.18 - Angriffsziel WordPress

Im PHP Magazin 2.2018 ist ein Überblick über den aktuellen Stand der Sicherheit von Wordpress erschienen.

Eine Leseprobe gibt es auf entwickler.de.

Immer wieder gibt es Angriffe auf WordPress-Websites. Und oft sind die erfolgreich. Ist WordPress etwa unsicher? Und wenn ja, wieso? Und wenn nicht, warum sind die Angriffe dann erfolgreich? Und was wollen die Angreifer überhaupt?

WordPress ist gefährdet. Nicht, weil es besonders unsicher ist. Sondern weil es zum einen extrem weit verbreitet ist und das zum anderen dazu führt, dass es immer veraltete und damit unsichere Installationen gibt. Die dann ein leichtes und verlockendes Ziel für die Cyberkriminellen sind. Und was die wollen, ist klar: Geld verdienen. Entweder direkt, indem sie über Ransomware die Website-Betreiber erpressen. Oder indirekt, indem sie die WordPress-Websites für Drive-by-Infektionen, bösartige SEO oder ähnliches nutzen und darüber Geld verdienen.

Was kann man dagegen tun?

Nun, zunächst mal WordPress-Core, Themes und PlugIns immer aktuell halten, damit man nicht Opfer eines Angriffs auf eine eigentlich schon behobene Schwachstelle wird.

Das schützt natürlich nicht vor 0-Day-Angriffen auf bisher unbekannte Schwachstellen wie z.B. 2015 auf die XSS-Schwachstelle im genericons-Package. Deshalb ist es wichtig, den Server zu härten, wie es z.B. von WordPress selbst oder sucuri beschrieben wird.

Und wenn es zum äußersten kommt und der Server kompromittiert wurde, gilt es, besonnen, aber zügig zu handeln. Wie, beschreibt z.B. WordPress selbst. Sehr hilfreich ist es dann, ein möglichst aktuelles Backup zur Verfügung zu haben. Und zwar nicht auf dem Server, wo es womöglich auch kompromittiert oder beschädigt wurde.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Drucksache | 0 Kommentare

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!