Blog

Vor einigen Jahren hat ein Geschäftsführer einer Werbeagentur zu mir gesagt: „Die Kunden kümmert die IT-Sicherheit erst dann, wenn sie gehackt werden, davor sind sie nicht bereit Geld zu investieren.“ 🙃

Zahlreiche gute Sicherheitsmechanismen für WordPress wie z.B.: HTTP Security-Header, werden erst gar nicht gesetzt, da man Angst hat die Website zu verschlimmbessern.

Die Vorteile von Sucuri sind, dass es einen guten Malware Scanner hat und es zu keinen Performance-Problemen kommt, da die Hauptarbeit remote passiert. Der Nachteil ist, dass es keine kostenlose Firewall gibt.

Bei einer gehackten #WordPress-Website zählt jede Sekunde, sind personenbezogene Daten betroffen muss die Datenschutzbehörde innerhalb von 72h sowie die betroffenen Personen benachrichtigt werden.

Webinar am 27.09.2023 –
Beginn 16:30 Ende 18:30

Um bei Security Audits für WordPress-Plugins mithilfe von XSS Angriffen oder SQL Injections erfolg zu haben, muss man zuerst nach GET/POST-Parametern Ausschau halten 🧐 Burp Suite bietet hier eine tolle Übersicht!

Mit dem Tool #sqlmap lassen sich SQL Injections durchführen und dadurch wertvolle Informationen zur Datenbank erlangen. Hierzu benötigt man ein #WordPress-Plugin mit einem Eintrittspunkt in Form eines GET-Parameters, welcher mit der Datenbank zusammenhängt, danach geht’s schnell.

Als Grundlage für einen Angriff auf eine #WordPress-Website gilt für mich die Informationsbeschaffung mithilfe von #OSINT (Open Source Intelligence) mit DNS Lookup, Ports scannen, whois-Abfragen, Subdomains suchen und natürlich eine Übersicht über WP-Version, Theme und Plugins 🧐

Selbst wenn bei einem SQL-Injection-Angriff auf ein WordPress-Plugin kein Resultat zu sehen ist, heißt es noch lange nicht dass die Website sicher ist – erst anhand von Blind SQL-Injections (boolesche oder zeitbasierte) kann man sich hier zu 100% vergewissern.