Hacker-Großangriff auf 900.000 WordPress-Seiten

Hackerangriff WordPress
Sicherheitslücke in WordPress

Rund 900.000 WordPress-Webseiten waren innerhalb von nur sieben Tagen das Ziel eines groß angelegten Angriffs. Schwachstellen im Content-Management-System sowie in Plug-ins machten dies möglich.

Dem Sicherheitsunternehmen Wordfence fiel kürzlich auf, dass deutlich mehr WordPress-Webseiten das Ziel von Hackern waren. In der Woche ab dem 28. April zeichnete das Unternehmen etwa 900.000 Angriffe auf Webseiten mit diesem CMS auf. Dies ist ein Anstieg um etwas das 30-fache und somit eine bedeutsame Steigerung. Am 3. Mai fand der Höhepunkt des Angriffs statt. An diesem Tag wurden rund 500.000 Webseiten attackiert und etwa 20 Millionen Versuche unternommen, die Schwachstelle auszunutzen. Die Angriffe erfolgten von 24.000 konstanten IP-Adressen aus, was auf ein Netzwerk schließen lässt. WordPress ist eine der beliebtesten Plattformen für Blogs und ähnliche Webseiten, sodass potenziell eine Vielzahl von Webseiten in Gefahr sind.

Der Angriff ging offenbar von einer Gruppe aus und zielte bewusst auf eine Schwachstelle im WordPress-System ab. Das Cross-Site-Scripting erlaubt es, über eine XSS-Schwachstelle einen schädlichen JavaScript-Code in die Webseite einzuschleusen. Ist die Seite infiziert, dann ist es möglich, Besucher auf eine andere Webseite umzuleiten. Weiterhin wurde beobachtet, dass der Schadcode versucht, Login-Daten von Admin-Konten zu stehlen. Danach wurden weitere Accounts eingerichtet, über die die Hacker einen direkten Zugriff auf die Webseite erhalten. Die Methode sowie die Schwachstelle sind hierbei weder unbekannt noch neu. Die Scripting-Schwachstelle ist bereits seit Jahren bekannt und ein Patch steht seit geraumer Zeit zur Verfügung. Aus diesem Grund ist Prävention die beste Methode der IT Sicherheit, sich vor diesen und ähnlichen Angriffen zu schützen. Software und Plug-ins sollten immer auf dem aktuellen Stand sein. Plug-ins, die nicht mehr zum offiziellen WordPress-Repository gehören, sollten deaktiviert und gelöscht werden. Diese stellen immer eine potenzielle Bedrohung der Cybersicherheit dar, da eventuelle Sicherheitslücken nicht mehr gepatched werden.

Wordfence spekuliert, dass die gleiche Hackergruppe ähnliche Attacken in der Zukunft durchführt. Da die manipulierten Webseiten mitunter nun über eine Backdoor verfügen, ist das System kompromittiert, auch wenn die eigentliche Sicherheitslücke inzwischen geschlossen ist. Aus diesem Grund sollen Webseitenbetreiber überprüfen, ob die eigene Seite gehackt wurde oder nicht. Es gibt bestimmte Indikatoren, an deren festgestellt werden kann, ob das eigene WordPress-System betroffen ist. So hinterlässt der Angriff eine Datei mit dem Namen „debugs.log“, in der Zeitstempel festgehalten werden, wann die Unbefugten auf die Seite zugegriffen haben. Zu den Indicators of Compromise zählen weiterhin bestimmte Zeichenfolgen, die indiziert wurden. Sollten diese Daten in der Verzeichnisstruktur oder in Daten der eigenen Webseite gefunden werden, ist die IT Sicherheit bedroht. In diesem Fall ist eine gründliche Analyse der Webseite sowie der Accounts notwendig, um die Cybersicherheit wiederherzustellen.