WordPress: Attackiert schon während jener Installation
[ad_1]
Unter vielen WWW-Diensten startet man zunächst ein Sockel-System mit Standardeinstellungen, dies man dann vor dem Live-Gangart konfiguriert und einrichtet. Immer mehrmals attackieren Unbekannte jedoch schon jene Rohversion mit unsicheren Voreinstellungen. Oft dauert es nur wenige Minuten und die Angreifer nach sich ziehen eine Hintertür eingeschleust. Denn die verwenden vereinen Trick, jener ihnen verrät, wo welches zu holen ist, berichtet jener Sicherheitsforscher Vladimir Smitka.
WordPress ist ein prominentes Musterbeispiel hierfür: Man lädt die Sockel-Installation uff den Server und startet den Installer uff https://mysite.irgend.wo/wp-admin/setup-config.php, um gleich ein neues Passwort zu setzen. Doch da kommt man vielleicht schon zu tardiv. Denn typischerweise hat man von kurzer Dauer zuvor vereinen neuen Server möbliert und z. Hd. diesen zweitrangig ein neues Zertifikat erstellt. Dieser Vorgang wird im publik einsehbaren Protokoll jener Certificate Transparency dokumentiert.
Dies Zertifikat denn Petze
Verschiedene Angreifer monitoren jene CT-Änderungen und liegen dann schon uff jener Lauer, wenn jener Eigentümer dort irgendetwas installiert. Dazu warten sie etwa uff dies Verwendet werden jener typischen WordPress-Installer-URLs. Typischerweise 4 Minuten dauerte es in Smitkas Selbstversuchen, solange bis die ersten Hintertüren uff dem System waren; ein Angreifer benötigte weniger denn 1 Minute. Dies denn Gegenprobe ohne HTTPS eingerichtete WordPress-System blieb hingegen völlig unbelästigt.
Smitka gelang es, zumindest eine Angreifergruppe im Rahmen ihrem Tun zu beobachten. Intrinsisch weniger Tage kaperten die gut 800 WordPress-Systeme, deren Eigentümer er geradeaus benachrichtigte. Doch es ist davon auszugehen, dass dieses Problem noch viel größer ist und tausende WordPress-Systeme uff diesem Weg kompromittiert wurden.
Vorbeugen und checken
Um dies zu verhindern, sollte man hierfür sorgen, dass dies neue System privat zugänglich ist, vor man die Installation und Organisation versperrt hat. Dies erreicht man etwa mit einer passenden .htaccess-File, die eine Passwort-Anfrage vorschaltet oder wie Smitka vorschlägt, zumindest den Zugriff uff /wp-admin uff eine IP-Note unbelehrbar.
Web-Hoster können ihre Kunden schützen, während sie Zugriffe uff /wp-admin/setup-config.php?step=2 ohne Referrer blockieren. Dies macht sich die Tatsache zunutze, dass die augenblicklich massenhaft stattfindenden Angriffe schepp in den Installationsprozess einsteigen. Es lässt sich jedoch durch modifizierte Angriffe leichtgewichtig umgehen.
Dies Heimtückische ist, dass die Angreifer dies System voll heile belassen; viele Admins bekommen es weder noch mit, dass ihr System schon eine Hintertür hat. Wer ergo ein WordPress oder vereinen anderen Server-Tätigkeit uff dem beschriebenen Weg möbliert hat, tut gut daran, sein System sehr sorgfältig nachher Hintertüren abzusuchen. Smitka schlägt hierfür die Security-Scanner von Wordfence oder Sucuri vor. Wer hier fündig wird, fängt am günstigsten mit einem neuen, sauberen System von vorn an – diesmal dann besser abgesichert.
(ju)