Finger weg von gestohlenen Themes

← zurück zum Blog

Die vergangenen Wochen haben uns einmal mehr gezeigt, wie beliebt WordPress bei unseren Kunden ist. Und damit ist das Content-Management-System (CMS) leider auch ein begehrtes Ziel für böswillige Angreifer.

In zwei Angriffswellen, die weltweit für Unruhe sorgten, wurden auch auf unseren Servern dutzende von WordPress-Installationen gehackt. Für die betroffenen Websites versprach oft nur noch die komplette Neuinstallation Linderung. Zur Sicherheit legten wir über betroffene Websites einen Passwortschutz, um Besucher vor bösen Überraschungen zu schützen.

Gestohlene Themes schlagen zurück.

Gestohlene Themes schlagen zurück. Bildquelle

Vorsicht bei vermeintlichen Gratis-Themes

Ziel der ersten Angriffswelle waren Installationen, die mit einem kostenlosen Theme ausgestattet waren. Wobei hier kostenlos das falsche Wort ist. Genau genommen handelte es sich um Raubkopien (sogenannte «Nulled Scripts») von eigentlich kostenpflichtigen Themes.

Was immer die Beweggründe waren, ein solches Theme einzusetzen, die Entscheidung rächte sich.

Kostenpflichtig ≠ sicherer

Wie dann die zweite Angriffswelle bewiesen hat, sind aber leider auch kostenpflichtige Themes oder Plugins nicht vor Attacken gefeit. In diesem konkreten Fall wurde eine längst bekannte Sicherheitslücke in einem beliebten Plugin ausgenutzt. Die Entwickler hatten die Sicherheitslücke zwar bald nach Bekanntwerden geschlossen, dennoch waren weiterhin tausende Installationen angreifbar. Was war passiert?

Das Plugin ist nicht nur unter WordPress-Benutzern beliebt, die ihre Website selbst gestalten, sondern wird auch sehr häufig als Teil eines Themes angeboten. Damit rutscht die Zuständigkeit für entsprechende Updates in den Bereich des Theme-Anbieters. Die eigentlich nötige Anweisung an Käufer der betroffenen Themes, das Plugin zu aktualisieren, war in vielen Fällen nicht erfolgt. Tausende von WordPress-Installation blieben darum angreifbar. Die auf den Namen SoakSoak getaufte Attacke war nun die Quittung dafür.

Wie sichere ich mich ab?

Angriffe können eigentlich jede und jeden treffen. Den hundertprozentigen Schutz gibt es schlichtweg nicht. Trotzdem lässt sich das Risiko mit dem Befolgen einiger Tipps verringern:

  • Spielen Sie Updates für Ihr CMS, Theme und Ihre Plugins regelmässig ein.
  • Installieren Sie keine raubkopierten Plugins und Themes.
  • Halten Sie sich über Sicherheitslücken auf dem Laufenden. Eine erste Anlaufstelle sind z.B. die Websites wpvulndb.com (für WordPress) bzw. cvedetails.com (für alle Systeme) oder unser Twitter-Account.
  • Nutzen Sie eine sogenannte «Web Application Firewall» (WAF), mit der Angriffe auf Sicherheitslücken in Ihrem CMS abgefangen werden. Bekannte Anbieter sind zum Beispiel CloudFlare oder Sucuri.
  • Installieren Sie nur Themes und Plugins von vertrauenswürdigen Entwicklern. Eine offene Kommunikation, gerade auch bei heiklen Themen wie Sicherheitslücken, ist ein gutes Zeichen.

Weitere Tipps finden Sie ausserdem in unserem Beitrag Fünf Tipps für eine sichere WordPress-Website.

Was unternimmt cyon?

Angriffe dieser Art sind auch für uns sehr mühsam und generieren viel zusätzliche Arbeit. Wir werden deshalb in nächster Zeit weitere Schutzmechanismen einbauen, damit solche Angriffe auf unsere Server erst gar nicht stattfinden können.

Ausserdem versuchen wir Sie – wenn immer möglich – bereits im Voraus auf mögliche Gefahren aufmerksam zu machen. Schauen Sie darum bei Gelegenheit nach, ob Sie unsere Statusmeldungen für Ihre E-Mail-Adressen abonniert haben. Sie finden die Option in Ihrem my.cyon-Konto unter «Meine Daten». So stehen die Chancen gut, dass Sie Angreifern immer einen Schritt voraus sind.

3 Kommentare

  1. Updates, keine geklauten Themes & Co. mal vorausgesetzt, gibt es leider immer wieder Lücken in den Plugins. Ich bin hin und wieder als Troubleshooter unterwegs um solche gehackten Seiten zu säubern – soweit das noch möglich ist. Wir haben sehr gute Erfahrung mit CloudFlare und Sucuri gemacht. Sucuri hat den „Vorteil“ zu CloudFlare, dass der DNS-Server nicht gewechselt werden muss. CloudFlare verlangt bis zur Enterprise Version, dass alle DNS-Einträge bei ihnen laufen. Das ist bei grossen Firmen vielfach nicht möglich, da nur der Webauftritt gesichert werden soll. CloudFlare hingegen bietet eine bessere Verwaltung & Kontrolle über die Cache- und Performance-Funktionen. Das meine Erfahrung dazu.

  2. „Angriffe dieser Art sind auch für uns sehr mühsam und generieren viel zusätzliche Arbeit. Wir werden deshalb in nächster Zeit weitere Schutzmechanismen einbauen, damit solche Angriffe auf unsere Server erst gar nicht stattfinden können.“

    Das verstehe ich absolut, wenn dann die weiteren „Schutzmechanismen“ bedeuten das mod_security neue Regeln erhält, die ziemlich willkürlich Speichervorgänge im CMS-Backend meiner Wahl (nicht WP) nicht mehr zulassen (e.g. 403 Forbidden Fehler) und meine Arbeit verunmöglichen, dann entsteht auch für mich eine solche Nutzen/Kosten-Frage, da ich dann urplötzlich duzende von Anfragen bekomme, warum Speichern im CMS nicht mehr geht, obwohl nix geändert hat und das seit jeher lief wies sollte…bis eben diese „Schutzmechanismen“ etwas paranoid wurden…ich hoffe das (noch offene) Support-Ticket erhält die nötige Aufmerksamkeit, da dies wirklich das erste mal in meiner doch schon Jahre währenden Zeit als cyon-Kunde ist wo ein solch massiver Bock geschossen wurde. Sicher nicht mit Absicht, aber dennoch nicht was man sich über die Festtage wünscht…

    • Hallo Luk, danke für Dein Feedback.

      Wir hegen natürlich keineswegs die Absicht, irgendjemandem zusätzliche Steine in den Weg zu legen. False positives lassen sich leider nicht komplett ausschliessen, weshalb wir zusätzliche Funktionen geplant haben, mit denen sich einzelne Regeln direkt im my.cyon-Konto deaktivieren lassen.

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog