Die meisten WordPress-Schwachstellen, etwa 67 % davon wurden im Jahr 2023 entdeckt, werden als mittelschwer eingestuft. Da sie am häufigsten vorkommen, ist es sinnvoll zu verstehen, was sie sind und wann sie eine tatsächliche Sicherheitsbedrohung darstellen. Dies sind die Fakten über diese Art von Sicherheitslücken, die Sie darüber wissen sollten.
Was ist eine Schwachstelle mittleren Grades?
Ein Sprecher von WPScan, einem WordPress-Sicherheitsscan-Unternehmen im Besitz von Automattic, erklärte, dass sie das Common Vulnerability Scoring System (CVSS Scores) verwenden, um den Schweregrad einer Bedrohung zu bewerten. Die Bewertungen basieren auf einem Nummerierungssystem von 1 bis 10 und Bewertungen von niedrig, mittel, hoch und kritisch.
Der WPScan-Sprecher erklärte:
„Wir kennzeichnen die Stufen nicht als Wahrscheinlichkeit des Auftretens, sondern anhand des Schweregrads der Schwachstelle basierend auf dem CVSS-Framework von FIRST. Im Großen und Ganzen bedeutet ein mittlerer Schweregrad, dass die Schwachstelle entweder schwer auszunutzen ist (z. B. SQL-Injection, die ein hochprivilegiertes Konto erfordert) oder dass der Angreifer von einem erfolgreichen Angriff nicht viel profitiert (z. B. kann ein nicht authentifizierter Benutzer die Schwachstelle ausnutzen). Inhalte privater Blogbeiträge).
Wir gehen im Allgemeinen nicht davon aus, dass sie bei groß angelegten Angriffen eingesetzt werden, da sie weniger nützlich sind als Schwachstellen mit höherem Schweregrad und schwerer zu automatisieren sind. Sie könnten jedoch bei gezielteren Angriffen nützlich sein, beispielsweise wenn ein privilegiertes Benutzerkonto bereits kompromittiert wurde oder ein Angreifer weiß, dass einige private Inhalte vertrauliche Informationen enthalten, die für ihn nützlich sind.
Wir empfehlen immer, anfällige Erweiterungen so schnell wie möglich zu aktualisieren. Wenn der Schweregrad jedoch mittel ist, ist die Dringlichkeit geringer, da die Website weniger wahrscheinlich Opfer eines groß angelegten automatisierten Angriffs wird.
Für einen ungeübten Benutzer ist der Bericht möglicherweise etwas schwer verständlich. Wir haben unser Bestes getan, um es für alle Zielgruppen so geeignet wie möglich zu machen, aber ich verstehe, dass es unmöglich wäre, alle abzudecken, ohne es zu langweilig oder zu lang zu machen. Und das Gleiche kann auch mit der gemeldeten Sicherheitslücke passieren. Der Benutzer, der den Feed konsumiert, benötigt einige Grundkenntnisse über die Einrichtung seiner Website, um zu entscheiden, welche Schwachstelle sofortige Aufmerksamkeit erfordert und welche beispielsweise von der WAF behandelt werden kann.
Wenn der Benutzer beispielsweise weiß, dass seine Website es Benutzern nicht erlaubt, sie zu abonnieren. Alle Meldungen über Sicherheitslücken bei Abonnenten+ können unabhängig vom Schweregrad erneut geprüft werden. Vorausgesetzt, dass der Benutzer die Benutzerbasis der Website ständig überprüft.
Das Gleiche gilt für Mitwirkender+-Berichte oder sogar für Administratorebenen. Wenn die Person ein kleines Netzwerk von WordPress-Sites unterhält, sind die Admin+-Schwachstellen für sie interessant, da ein kompromittierter Administrator einer der Sites zum Angriff auf den Superadministrator genutzt werden kann.“
Sicherheitslücken auf Mitwirkenderebene
Viele Schwachstellen mittleren Schweregrads erfordern einen Zugriff auf Mitwirkenderebene. Ein Mitwirkender ist eine Zugriffsrolle, die diesem registrierten Benutzer die Möglichkeit gibt, Inhalte zu schreiben und einzureichen, obwohl er im Allgemeinen nicht die Möglichkeit hat, diese zu veröffentlichen.
Die meisten Websites müssen sich keine Sorgen über Sicherheitsbedrohungen machen, die eine Authentifizierung auf Mitwirkenderebene erfordern, da die meisten Websites diese Zugriffsebene nicht bieten.
Chloe Chamberland – Threat Intelligence Lead bei Wordfence erklärte, dass sich die meisten Websitebesitzer keine Sorgen über Schwachstellen mit mittlerem Schweregrad machen sollten, für deren Ausnutzung ein Zugriff auf Mitwirkenderebene erforderlich ist, da die meisten WordPress-Websites diese Berechtigungsstufe nicht bieten. Sie wies auch darauf hin, dass diese Art von Schwachstellen schwer zu skalieren seien, weil ihre Ausnutzung schwer zu automatisieren sei.
Chloe erklärte:
„Für die meisten Websitebesitzer sind Schwachstellen, die zum Ausnutzen Zugriff auf Mitwirkender-Ebene oder höher erfordern, kein Grund zur Sorge. Dies liegt daran, dass die meisten Websites keine Registrierung auf Ebene der Mitwirkenden zulassen und die meisten Websites keine Mitwirkenden auf ihrer Website haben.
Darüber hinaus sind die meisten WordPress-Angriffe automatisiert und zielen auf leicht auszunutzende, hochwertige Gewinne ab, so dass Schwachstellen wie diese von den meisten WordPress-Bedrohungsakteuren wahrscheinlich nicht ins Visier genommen werden.“
Website-Publisher, die sich Sorgen machen sollten
Chloe sagte auch, dass Verlage, die Berechtigungen auf Mitwirkender-Ebene anbieten, möglicherweise mehrere Gründe haben, sich über solche Exploits Sorgen zu machen:
„Die Besorgnis über Exploits, die Zugriff auf Mitwirkender-Ebene erfordern, entsteht, wenn Website-Eigentümer die Registrierung auf Mitwirkender-Ebene zulassen, Mitwirkende mit schwachen Passwörtern haben oder auf der Website ein anderes Plugin/Theme mit einer Schwachstelle installiert ist, die in irgendeiner Weise Zugriff auf Mitwirkender-Ebene ermöglicht.“ und der Angreifer will wirklich auf Ihre Website zugreifen.
Wenn ein Angreifer an eines dieser Konten gelangen kann und eine Schwachstelle auf Mitwirkender-Ebene besteht, erhält er möglicherweise die Möglichkeit, seine Privilegien zu erweitern und dem Opfer echten Schaden zuzufügen. Nehmen wir als Beispiel eine Cross-Site-Scripting-Schwachstelle auf Mitwirkenderebene.
Aufgrund der Art des Zugriffs auf Mitwirkender-Ebene ist es sehr wahrscheinlich, dass ein Administrator eine Vorschau des Beitrags zur Überprüfung ansieht, woraufhin jegliches injizierte JavaScript ausgeführt wird – das bedeutet, dass der Angreifer eine relativ hohe Erfolgschance hätte, da der Administrator den Beitrag in der Vorschau anzeigt zur Veröffentlichung.
Wie bei jeder Cross-Site-Scripting-Schwachstelle kann diese ausgenutzt werden, um ein neues Administratorkonto hinzuzufügen, Hintertüren einzuschleusen und praktisch alles zu tun, was ein Site-Administrator tun könnte. Wenn ein ernsthafter Angreifer Zugriff auf ein Konto auf Mitwirkender-Ebene hat und keine andere triviale Möglichkeit hat, seine Berechtigungen zu erhöhen, würde er wahrscheinlich dieses Cross-Site Scripting auf Mitwirkender-Ebene nutzen, um weiteren Zugriff zu erhalten. Wie bereits erwähnt, werden Sie bei der überwiegenden Mehrheit der WordPress-Websites wahrscheinlich nicht einen solchen Grad an Komplexität feststellen. Es sind also wirklich hochwertige Websites, die sich mit diesen Problemen befassen müssen.
Zusammenfassend lässt sich sagen, dass ich zwar nicht glaube, dass sich die überwiegende Mehrheit der Websitebesitzer über Schwachstellen auf Mitwirkender-Ebene Sorgen machen muss, es aber dennoch wichtig ist, diese ernst zu nehmen. Wenn Sie die Benutzerregistrierung auf dieser Ebene auf Ihrer Website zulassen, erzwingen Sie kein eindeutiges Strong Benutzerpasswörter und/oder Sie haben eine hochwertige WordPress-Website.“
Seien Sie sich der Schwachstellen bewusst
Auch wenn die vielen mittelschweren Schwachstellen keinen Grund zur Sorge darstellen, ist es dennoch eine gute Idee, darüber auf dem Laufenden zu bleiben. Sicherheitsscanner wie die kostenlose Version von WPScan können eine Warnung ausgeben, wenn ein Plugin oder Theme angreifbar wird. Dies ist eine gute Möglichkeit, ein Warnsystem einzurichten, um Schwachstellen im Auge zu behalten.
WordPress-Sicherheits-Plugins wie Wordfence bieten eine proaktive Sicherheitsmaßnahme, die automatisierte Hacking-Angriffe aktiv blockiert und von fortgeschrittenen Benutzern weiter optimiert werden kann, um bestimmte Bots und Benutzeragenten zu blockieren. Die kostenlose Version von Wordfence bietet erheblichen Schutz in Form einer Firewall und eines Malware-Scanners. Die kostenpflichtige Version bietet Schutz für alle Schwachstellen, sobald sie entdeckt werden und bevor die Schwachstelle behoben wird. Ich verwende Wordfence auf allen meinen Websites und kann mir nicht vorstellen, eine Website ohne Wordfence einzurichten.
Sicherheit wird im Allgemeinen nicht als SEO-Problem angesehen, sollte jedoch als solches betrachtet werden, da das Versäumnis, eine Website zu sichern, all die Mühen zunichte machen kann, die für ein gutes Ranking einer Website geleistet wurden.
Ausgewähltes Bild von Shutterstock/Juan Villa Torres