WordPress Sicherheit (2) – Ziele der Angreifer & Ziele der Maßnahmen zum Schutz von WordPress
Im zweiten Teil unserer Artikel-Serie zum Thema WordPress-Sicherheit widmen wir uns den möglichen Zielen der Angreifer. Weshalb interessieren wir uns für Beweggründe und Ziele der Angreifer? Ganz einfach… Umso besser du deinen Gegner verstehst, desto leichter fällt es dir, seine Pläne zu durchkreuzen. Aus den Zielen des Angreifers ergeben sich auch deine Ziele zum Schutz von WordPress. Ja, pauschal, ist es dein Ziel, Angriffe abzuwehren. Noch besser ist es aber, es überhaupt erst gar nicht zu Angriffen kommen zu lassen.
Inhaltsverzeichnis
Kleine Websites und Blogs sind für Angreifer uninteressant
Das ist eine unter Betreibern von kleinen Hobby-Blogs und eher weniger bekannten Websites mit nur geringem Besucherzahlen weit verbreitete Annahme. Sie wägen sich in Sicherheit, weil sie meinen, Angreifer würden sich nicht für ihre Website interessieren, ja sie nicht einmal kennen. Aber sind kleine Websites und Blogs sind für Angreifer tatsächlich uninteressant? Dass die Angreifer die meisten dieser Sites nicht einmal kennen, stimmt mit großer Wahrscheinlichkeit sogar, allerdings bedeutet das nicht, dass sich die Angreifer nicht auch für kleine, mit WordPress betriebene Websites interessieren. Wenn wir mal von den Fällen absehen, in denen es ein Angreifer ganz speziell auf eine ganz bestimmte unter WordPress laufende Site abgesehen hat, ist es ihm vollkommen egal, wie bekannt oder gut besucht, die WordPress-Sites sind, welches Thema sie haben und wer sie betreibt. Weshalb das so ist, darüber sollen die folgenden Absätze Aufschluss geben.
Die Ziele der Angreifer
Das erste Ziel fast aller Angriffe ist es, mit möglichst wenig Aufwand die Kontrolle über möglichst viele WordPress-Systeme zu erlangen. Es geht es in den allermeisten Fällen nicht um deine WordPress-Website im Speziellen, sondern darum möglichst vielen WordPress-Installationen zu infiltrieren und unter die eigene Kontrolle zu bringen. Behalten wir das also im Hinterkopf, während wir uns zunächst mal der Frage widmen, zu welchem Zweck denn Angreifer möglichst viele WordPress Installationen unter ihre Kontrolle bringen wollen. Im Folgenden zählen wir einige der wichtigsten infrage kommenden Gründe auf.
Aus welchem Grund wollen Hacker dein WordPress kontrollieren?
Verbreitung von Malware
Eine der Absichten der Angreifer kann die Verbreitung von Malware sein. Hacker möchten über die von ihnen kontrollierten Websites mit WordPress Malware an deren Besuchern verbreiten, um deren Geräte (PC, Tablet, Smartphone) ebenfalls unter ihre Kontrolle zu bringen. Dahinter wiederum verbergen sich vielfältige andere Ziele:
- Ausspionieren von Zugangsdaten (Online-Banking, PayPal, Kryptowährungen etc…)
- Integration der gekaperten Rechner in Bot-Netze, mit denen z.B. DDoS Attacken durchgeführt werden
Nutzung deines Servers für Angriffe auf andere Server
Die Nutzung gekaperter WordPress-Installationen als Basis für Angriffe auf andere Server ist ebenfalls gängige Praxis. Hierbei agieren die Server auf denen das gekappte WordPress liegt selbst als Teile eines Bot-Netzes, welches für Brute Force Angriffe oder DDoS Attacken eingesetzt wird.
Versand von Spam
Eine typische Verwendung gekaperter WordPress-Websites ist der Versand von Spam. Abgesehen davon, dass der Angreifer mit hoher Wahrscheinlichkeit eigene E-Maillisten hat, findet er bei größeren Websites gleich noch eine E-Mailliste der Abonnenten.
Die Ziele der Maßnahmen zum Schutz von WordPress
Die meisten werden auf die Frage nach den Zielen der Schutzmaßnahmen antworten,
Das ist doch klar. Verhindern, dass WordPress gehackt und kompromittiert wird.
Das ist natürlich richtig. Aber was heißt das im Detail? Einige argumentieren vielleicht auch,
Ihr habt doch erklärt, dass es einen hundertprozentigen Schutz ohnehin nicht geben kann. Weshalb dann so viel Aufwand betreiben?
Auch wenn ein hundertprozentiger Schutz unrealistisch erscheint: Jeder Betreiber einer auf WordPress basierenden Website, sollte versuchen, so nah wie möglich an 100 % Sicherheit heranzukommen. Was sind also die Ziele in Bezug auf die Sicherheit von WordPress?
Den Aufwand für den Angreifer erhöhen
Ein Ziel ist es, durch geeignete Maßnahmen, den erforderlichen Aufwand für Angreifer so weit wie möglich zu erhöhen. Umso besser es dir gelingt, dein WordPress zu schützen, desto höher der Aufwand für den Angreifer. Dann kostet ihn das Erreichen seines Ziels zu viel Zeit und Mühe. Dadurch steigt die Wahrscheinlichkeit, dass er von deiner Website ablässt. Er wird sich eher ein leichteres Ziel suchen. Das trifft unter Umständen nicht auf einen Angreifer zu, der es ganz speziell auf dich und deine Website abgesehen hat, aber auch ihm wird es zumindest schwergemacht. Die Masse derer, die nach beliebigen, zufälligen Opfern suchen, kannst du dir aber vom Leib halten.
Schnüffelnde Bots ins Leere laufen lassen
Die Basis fast aller Angriffe bilden Bots. Diese durchforsten dein WordPress nach Schwachstellen und Sicherheitslücken und speichern diese in Logfiles für ihren Herrn und Meister. Wenn die Bots bei dir keine Schwachstellen finden, melden sie auch keine. Dein Ziel ist es, dass die Bots nichts finden.
Brute Force Angriffen widerstehen
Auch, wenn die Bots keine Sicherheitslücken und Schwachstellen bei deinem WordPress finden… Deine Website und dein WordPress werden permanent mit Brute Force Angriffen traktiert. Auch dann, wenn du selbst nichts davon bemerkst, weil du keine Funktion implementiert bzw. kein Plugin installiert hast, welches dich über Brute Force Attacken informiert. Und Brute Force Angriffe führen theoretisch zwangsläufig irgendwann zum Ziel. Es liegt in deiner Hand, ob das nach Minuten, wenigen Stunden, einer Woche, 3 Monaten oder in 1.000 Jahren der Fall sein wird. Dein Ziel sollte es sein, sicherzustellen, dass Brute Force erst nach 1.000 Jahren oder später zum Erfolg führt.
Fazit – Absichten und Ziele der Angreifer
Du weißt nun, dass es nützlich ist, die Ziele der Angreifer zu kennen. Denn so lassen sich die eigenen Ziele zum Schutz der Maßnahmen klarer definieren. Wie du deine Ziele erreichst und verhinderst, dass der Angreifer zum Ziel kommt, erfährst du in Teil 3 der Serie WordPress Sicherheit.