26. März 2014

Netcraft Statistik WordPress für Malware und Phishing missbraucht

,    1 Kommentar

Ein Beitrag von Maike

Share on Facebook7Tweet about this on Twitter4Share on Google+0Share on LinkedIn0Email this to someone

Nicht nur harmlose Blogger lieben WordPress, auch Kriminelle sind begeistert von dem CMS. Die Sicherheitsfirma Netcraft hat eine Studie veröffentlicht, die belegt, dass WP-Blogs sehr oft als Phishing Seiten genutzt werden und Malware hosten. Jedoch konnte keine infizierte Seite auf WordPress.com gefunden werden, was die Vermutung nahe legt, dass WordPress als Software sicher ist, solange sie richtig administriert wird.

Malware und Phishing Seiten lieben WordPress.

Malware und Phishing Seiten lieben WordPress.

 

Phishing und Malware meets WordPress

Im Februar 2014 sollen kompromittierte WordPress Blogs rund 12.000 Phishing Seiten gehostet haben, die von Netcraft geblockt wurden. Damit machen die WP-Phishing Seiten rund sieben Prozent aller weltweit vermerkten Phishing Angriffe im Februar aus und entsprechen elf Prozent der genutzten IP-Adressen, die für das „Fischen“ nach Daten von Internet-Usern genutzt wurden. Auch konnte Netcraft feststellen, dass acht Prozent der geblockten Malware-URLs im gleichen Zeitraum WordPress Blogs waren. Das sind rund 19 Prozent aller für die Malware-Verbreitung genutzten IP-Adressen. Das Interessante bei der Statistik ist jedoch, dass sich unter den infizierten WP-Seiten keine befand, die bei WordPress.com über Automattic gehostet wird. So kann die WP-Software also sicher betrieben werden. Die Sicherheitslücken, durch die Malware und Phishing ihren Weg auf die Seite finden, könnten so auf eine nicht ausreichende Administration zurückzuführen sein.

 

Sicherheitslücken: Administration und Plugins

Gefährdet sind vor allem Seiten, die die WP-Software downloaden und für ihre Webseite nutzen. Probleme treten auf, wenn die Administratoren nicht darauf achten, ob ihre WP-Version auch genug gesichert ist und sich auf dem neusten Stand befindet. Was bei der über Automattic gehosteten Version ganz automatisch abläuft, fällt bei anderen Seiten in den Verantwortlichkeitsbereich der Administratoren. Weitere Sicherheitslücken können auch zu schwach geschützte Usernamen, wie der Klassiker „Admin“, oder Plugins sein. Bestes Beispiel für die Gefahr durch Plugins ist das TimThumb Plugin, über das Angreifer in der Lage waren, Remote Files auf die Seiten, die das Plugin installierten, zu schleusen und im weiteren Verlauf Malware und Phishing-Programme zu installieren. Die Plugins nutzen dabei das Verzeichnis wp-includes. In diesem Verzeichnis konnte Netcraft auch rund ein Fünftel der verzeichneten Phishing Software auf WP-Blogs lokalisieren.

 

Administratoren in der Pflicht

Je verwundbarer der WordPress-Blog, desto stärker zieht er Kriminelle an. So machte erst vor knapp zwei Wochen eine DDoS-Attacke, die sich aus 162.000 WordPress Seiten zusammensetzte, Schlagzeilen. Der Übeltäter war eine aktivierte Pingback-Funktion, die dazu führte, dass die Angreifer  die Seiten von unwissenden Nutzern für ihre DDoS-Attacke nutzen konnten. Betreiber von WP-Blogs können sich vor diesen Attacken schützen, indem sie im Fall der DDoS-Attacken die Pingback-Funktion deaktivieren und allgemein sicher gehen, dass ihre Seite nicht leicht angreifbar ist. Da sich ein Großteil der Phishing Software entweder im WP-includes Verzeichnis, im WP-admin Verzeichnis und vor allem im WP-content Verzeichnis befindet, ist hier besondere Vorsicht geboten. Eine Schwachstelle ist, wenn ein Nutzer bei Hosting Seiten, die gemeinsam genutzt werden, Schreibzugriff auf das WP-content Verzeichnis anderer Nutzer hat. Diese Sicherheitslücken können die Angreifer ausnutzen, um Malware und Phishing-Software auf dem Blog der anderen Nutzer zu platzieren. Die Gefahr eines Angriffs durch Malware oder Phishing wird jedoch verringert, wenn immer alle Sicherheitsupdates auf dem neusten Stand sind und der Zugang über den Admin-Bereich gut gesichert ist.

 

Bild: Rafal Olechowski /shutterstock.com

Share on Facebook7Tweet about this on Twitter4Share on Google+0Share on LinkedIn0Email this to someone
Maike

Maike

Ich bin immer auf der Suche nach den brandheißen News der WordPress-Community und interessiere mich vor allem für Plugins und alles, was das Blogger-Leben leichter macht. Da es mit WordPress nie langweilig wird, mangelt es mir zum Glück nicht an Schreibstoff.
Maike

Du willst up-to-date bleiben?

Trage dich jetzt in unseren kostenlosen Newsletter ein, um stets die aktuellsten Neuigkeiten rund um Wordpress zu erhalten.

Wir geben deine Daten nicht weiter! Wir hassen Spam genauso wie du!

1 Kommentar

Reaktionen auf diesen Beitrag

    • Leider ist es mit den Maßnahmen im letzten Teil des Artikels nicht getan. Alleine die Sicherheitsupdates und die Absicherung des Admin Bereiches reichen nicht aus. So lange die XML-RPC Schnittstelle in WordPress aktiv ist und nicht per htaccess manuell abgesichert wird, können darüber Malware und anderer Müll installiert werden. Und auch der content ordner und upload ordner müssen durch Code-Snippets gesichert werden um keine php Skripte durch Unberechtigte ausführen zu können.. Leider gehen durch die Absicherung auch Features verloren. Und glaubt mir bitte, jeder bzw. jede WordPress Installation kann Zufallsopfer werden. Die Kriminellen sind nicht sonderlich wählerisch. Einer meiner Blogs (nicht der oben verlinkte) wurde vergangenes Jahr über die XML-RPC Schnittstelle angegriffen und seither weiß ich, dass Updates usw. nicht ausreichen.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.