Der WordPress-Sicherheitsscanner WPScan macht in seinem WordPress-Schwachstellenbericht 2024 auf Schwachstellentrends in WordPress aufmerksam und schlägt vor, worauf Website-Publisher (und SEOs) achten sollten.
Zu den wichtigsten Erkenntnissen des Berichts gehörte, dass etwas mehr als 20 % der Schwachstellen als Bedrohungen hoher oder kritischer Stufe eingestuft wurden, wobei Bedrohungen mittlerer Schwere mit 67 % der gemeldeten Schwachstellen die Mehrheit ausmachten. Viele betrachten Schwachstellen mittlerer Stufe als Bedrohungen niedriger Stufe, und das ist ein Fehler, da sie nicht von geringer Stufe sind und als Aufmerksamkeit verdient angesehen werden sollten.
Der Bericht macht die Benutzer nicht für die Malware- und Website-Schwachstellen verantwortlich. Aber Fehler von Herausgebern können den Erfolg von Hackern, die Schwachstellen ausnutzen, steigern.
Der WPScan-Bericht empfiehlt:
„Obwohl sich der Schweregrad nicht direkt auf das Risiko einer Ausnutzung übertragen lässt, ist es für Website-Besitzer eine wichtige Richtlinie, eine fundierte Entscheidung darüber zu treffen, wann die Erweiterung deaktiviert oder aktualisiert werden soll.“
Verteilung des Schweregrads der Sicherheitslücke in WordPress
Schwachstellen der kritischen Stufe, die höchste Bedrohungsstufe, machten nur 2,38 % der Schwachstellen aus, was im Grunde eine gute Nachricht für WordPress-Publisher ist. Doch wie bereits erwähnt, steigt die Zahl der betroffenen Schwachstellen in Kombination mit dem Anteil hochgradiger Bedrohungen (17,68 %) auf fast 20 %.
Hier sind die Prozentsätze nach Schweregradbewertungen:
- Kritisch 2,38 %
- Niedrig 12,83 %
- Hoch 17,68 %
- Mittel 67,12 %
Authentifiziert versus nicht authentifiziert
Bei authentifizierten Schwachstellen handelt es sich um solche, bei denen ein Angreifer zunächst Benutzeranmeldeinformationen und die damit verbundenen Berechtigungsstufen erlangen muss, um eine bestimmte Schwachstelle auszunutzen. Exploits, die eine Authentifizierung auf Abonnentenebene erfordern, sind von den authentifizierten Exploits am ausnutzbarsten, und Exploits, die Zugriff auf Administratorebene erfordern, stellen das geringste Risiko dar (obwohl das Risiko aus verschiedenen Gründen nicht immer gering ist).
Nicht authentifizierte Angriffe lassen sich im Allgemeinen am einfachsten ausnutzen, da jeder einen Angriff starten kann, ohne sich zuvor Benutzeranmeldeinformationen besorgen zu müssen.
Der WPScan-Schwachstellenbericht ergab, dass etwa 22 % der gemeldeten Schwachstellen eine Authentifizierung auf Abonnentenebene oder überhaupt keine Authentifizierung erforderten, was die am stärksten ausnutzbaren Schwachstellen darstellt. Am anderen Ende der Skala der Ausnutzbarkeit befinden sich Schwachstellen, die Administratorberechtigungsstufen erfordern, was insgesamt 30,71 % der gemeldeten Schwachstellen ausmacht.
Gelöschte Software und schwache Passwörter
Schwache Passwörter und ungültige Plugins waren zwei häufige Gründe für die Entdeckung von Malware durch den Jetpack-Scan. Bei gelöschter Software handelt es sich um Raubkopien von Plugins, die überprüfen konnten, ob sie für die Blockierung bezahlt wurden. Diese Plugins verfügten in der Regel über Hintertüren, die eine Infektion mit Malware ermöglichten. Schwache Passwörter können durch Brute-Force-Angriffe erraten werden.
Der WPScan-Bericht erklärt:
„Authentifizierungs-Bypass-Angriffe könnten eine Vielzahl von Techniken beinhalten, wie etwa das Ausnutzen von Schwachstellen in schwachen Passwörtern, das Erraten von Anmeldeinformationen, den Einsatz von Brute-Force-Angriffen zum Erraten von Passwörtern, den Einsatz von Social-Engineering-Taktiken wie Phishing oder Pretexting, den Einsatz von Privilegieneskalationstechniken wie das Ausnutzen bekannter Schwachstellen in Software- und Hardwaregeräte oder das Ausprobieren von Standardkontoanmeldungen.“
Für Exploits erforderliche Berechtigungsstufen
Schwachstellen, die Anmeldeinformationen auf Administratorebene erfordern, stellten den höchsten Prozentsatz an Exploits dar, gefolgt von Cross Site Request Forgery (CSRF) mit 24,74 % der Schwachstellen. Das ist interessant, weil es sich bei CSRF um einen Angriff handelt, der Social Engineering nutzt, um ein Opfer dazu zu bringen, auf einen Link zu klicken, über den die Berechtigungsstufen des Benutzers ermittelt werden. Das ist ein Fehler, den WordPress-Herausgeber beachten sollten, denn ein Benutzer mit Administratorrechten muss lediglich einem Link folgen, der es dem Hacker dann ermöglicht, Administratorrechte für die WordPress-Website zu erlangen.
Im Folgenden sind die Prozentsätze der Exploits aufgeführt, sortiert nach Rollen, die zum Starten eines Angriffs erforderlich sind.
Aufsteigende Reihenfolge der Benutzerrollen für Schwachstellen
- Autor 2,19 %
- Abonnent 10,4 %
- Nicht authentifiziert 12,35 %
- Mitwirkender 19,62 %
- CSRF 24,74 %
- Admin 30,71 %
Die häufigsten Schwachstellentypen, die eine minimale Authentifizierung erfordern
„Unterbrochene Zugriffskontrolle“ bezieht sich im Kontext von WordPress auf einen Sicherheitsfehler, der es einem Angreifer ohne erforderliche Anmeldeinformationen ermöglichen kann, Zugriff auf höhere Anmeldeinformationen zu erhalten.
Im Abschnitt des Berichts, der sich mit den Vorkommnissen und Schwachstellen befasst, die nicht authentifizierten oder auf Abonnentenebene gemeldeten Schwachstellen zugrunde liegen (Vorkommen vs. Schwachstelle bei nicht authentifizierten oder Abonnenten+-Berichten), schlüsselt WPScan die Prozentsätze für jeden Schwachstellentyp auf, der am häufigsten auftritt, für Exploits, die am einfachsten sind zum Starten (da sie nur eine minimale bis gar keine Authentifizierung der Benutzeranmeldeinformationen erfordern).
Der WPScan-Bedrohungsbericht stellte fest, dass Broken Access Control satte 84,99 % ausmacht, gefolgt von SQL-Injection (20,64 %).
Das Open Worldwide Application Security Project (OWASP) definiert Broken Access Control als:
„Zugriffskontrolle, manchmal auch Autorisierung genannt, ist die Art und Weise, wie eine Webanwendung einigen Benutzern Zugriff auf Inhalte und Funktionen gewährt und anderen nicht. Diese Prüfungen werden nach der Authentifizierung durchgeführt und regeln, was „autorisierte“ Benutzer tun dürfen.
Die Zugangskontrolle klingt wie ein einfaches Problem, ist jedoch äußerst schwierig richtig umzusetzen. Das Zugriffskontrollmodell einer Webanwendung ist eng mit den Inhalten und Funktionen verknüpft, die die Website bereitstellt. Darüber hinaus können die Benutzer in eine Reihe von Gruppen oder Rollen mit unterschiedlichen Fähigkeiten oder Privilegien fallen.“
SQL-Injection stellt mit 20,64 % die zweithäufigste Art von Schwachstelle dar, die WPScan sowohl als „hoher Schweregrad als auch als Risiko“ im Zusammenhang mit Schwachstellen bezeichnet, die minimale Authentifizierungsstufen erfordern, da Angreifer auf die Datenbank zugreifen und/oder diese manipulieren können Herzstück jeder WordPress-Website.
Dies sind die Prozentsätze:
- Defekte Zugangskontrolle 84,99 %
- SQL-Injection 20,64 %
- Cross-Site-Scripting 9,4 %
- Nicht authentifizierter willkürlicher Datei-Upload 5,28 %
- Offenlegung sensibler Daten 4,59 %
- Unsichere direkte Objektreferenz (IDOR) 3,67 %
- Remote-Codeausführung 2,52 %
- Sonstige 14,45 %
Sicherheitslücken im WordPress-Kern selbst
Die überwiegende Mehrheit der Schwachstellenprobleme wurde in Plugins und Themes von Drittanbietern gemeldet. Allerdings wurden im Jahr 2023 insgesamt 13 Schwachstellen im WordPress-Kern selbst gemeldet. Von den dreizehn Schwachstellen wurde nur eine als Bedrohung mit hohem Schweregrad eingestuft, was der zweithöchsten Stufe entspricht, wobei „Kritisch“ die höchste Stufe der Schwachstellenbedrohung darstellt, ein Bewertungssystem des Common Vulnerability Scoring System (CVSS).
Die WordPress-Kernplattform selbst unterliegt den höchsten Standards und profitiert von einer weltweiten Community, die wachsam beim Entdecken und Beheben von Schwachstellen ist.
Website-Sicherheit sollte als technisches SEO betrachtet werden
Site-Audits decken normalerweise nicht die Website-Sicherheit ab, aber meiner Meinung nach sollte jede verantwortungsvolle Prüfung zumindest über Sicherheits-Header sprechen. Wie ich schon seit Jahren sage, wird die Website-Sicherheit schnell zu einem SEO-Problem, sobald das Ranking einer Website aufgrund einer Schwachstelle von den Suchmaschinen-Ergebnisseiten (SERPs) verschwindet. Aus diesem Grund ist es wichtig, proaktiv in Bezug auf die Website-Sicherheit zu handeln.
Dem WPScan-Bericht zufolge waren durchgesickerte Zugangsdaten und schwache Passwörter der Haupteintrittspunkt für gehackte Websites. Die Gewährleistung starker Passwortstandards und der Zwei-Faktor-Authentifizierung ist ein wichtiger Bestandteil der Sicherheitsvorkehrungen jeder Website.
Die Verwendung von Sicherheitsheadern ist eine weitere Möglichkeit, sich vor Cross-Site Scripting und anderen Arten von Schwachstellen zu schützen.
Schließlich sind eine WordPress-Firewall und Website-Härtung auch nützliche proaktive Ansätze zur Website-Sicherheit. Ich habe einmal ein Forum zu einer brandneuen Website hinzugefügt, die ich erstellt habe, und sie wurde innerhalb von Minuten sofort angegriffen. Ob Sie es glauben oder nicht, praktisch jede Website weltweit wird 24 Stunden am Tag von Bots angegriffen, die nach Schwachstellen suchen.
Lesen Sie den WPScan-Bericht:
WPScan 2024 Website-Bedrohungsbericht
Ausgewähltes Bild von Shutterstock/Ljupco Smokovski