Blog

Ein Wartungsvertrag für Websites & Webshops richtig gemacht, ist der Schlüssel zur besseren IT-Sicherheit
Vor einigen Jahren hat ein Geschäftsführer einer Werbeagentur zu mir gesagt: „Die Kunden kümmert die IT-Sicherheit erst dann, wenn sie gehackt werden, davor sind sie nicht bereit Geld zu investieren.“ 🙃

HTTP Security-Header richtig setzen
Zahlreiche gute Sicherheitsmechanismen für WordPress wie z.B.: HTTP Security-Header, werden erst gar nicht gesetzt, da man Angst hat die Website zu verschlimmbessern.

Richtiges Setup von Sucuri Security
Die Vorteile von Sucuri sind, dass es einen guten Malware Scanner hat und es zu keinen Performance-Problemen kommt, da die Hauptarbeit remote passiert. Der Nachteil ist, dass es keine kostenlose Firewall gibt.

Gehackte WordPress-Website wiederherstellen
Bei einer gehackten #WordPress-Website zählt jede Sekunde, sind personenbezogene Daten betroffen muss die Datenschutzbehörde innerhalb von 72h sowie die betroffenen Personen benachrichtigt werden.

WKO-Vortrag: Websites und Webshops vor Hackerangriffen erfolgreich schützen
Webinar am 27.09.2023 –
Beginn 16:30 Ende 18:30

Erfolgreiche XSS Angriffe und SQL Injections bei WordPress Plugins
Um bei Security Audits für WordPress-Plugins mithilfe von XSS Angriffen oder SQL Injections erfolg zu haben, muss man zuerst nach GET/POST-Parametern Ausschau halten 🧐 Burp Suite bietet hier eine tolle Übersicht!

SQL Injections bei WordPress mit sqlmap
Mit dem Tool #sqlmap lassen sich SQL Injections durchführen und dadurch wertvolle Informationen zur Datenbank erlangen. Hierzu benötigt man ein #WordPress-Plugin mit einem Eintrittspunkt in Form eines GET-Parameters, welcher mit der Datenbank zusammenhängt, danach geht’s schnell.

Informationsbeschaffung mit OSINT
Als Grundlage für einen Angriff auf eine #WordPress-Website gilt für mich die Informationsbeschaffung mithilfe von #OSINT (Open Source Intelligence) mit DNS Lookup, Ports scannen, whois-Abfragen, Subdomains suchen und natürlich eine Übersicht über WP-Version, Theme und Plugins 🧐

SQL Injections bei WordPress auch wirklich entdecken
Selbst wenn bei einem SQL-Injection-Angriff auf ein WordPress-Plugin kein Resultat zu sehen ist, heißt es noch lange nicht dass die Website sicher ist – erst anhand von Blind SQL-Injections (boolesche oder zeitbasierte) kann man sich hier zu 100% vergewissern.