Vergangene Woche sorgte eine großangelegte Angriffswelle mit 130 Millionen Versuchen auf 1,3 Millionen WordPress-Webseiten an nur einem Wochenende für Aufsehen. Die Hacker nutzten ungepatchte Schwachstellen in Plug-ins und Themes des beliebten Content Management Systems.

Dabei gelang es den Cyberkriminellen aus den Konfigurationsdateien (wp-config.php) die Anmeldedaten für die WordPress-Datenbank zu extrahieren und so die Kontrolle zu übernehmen. Neben den Zugangsdaten für die Datenbank sind dort auch Authentifizierungsschlüssel und Salts zu finden.

Zweite Angriffswelle

Schon Ende April gab es einen Großangriff auf WordPress-basierte Webseiten. Mit sogenannten XSS-Angriffen haben Cyberkriminelle versucht, bekannte – aber alte – Schwachstellen in Plug-ins auszunutzen. Offensichtlich hat dieselbe Hackergruppe der damaligen Cross-Site-Scripting Attacken wieder zugeschlagen, denn eine Analyse zeigt, dass dieselben IP-Adressen verwendet werden. Diese zu blockieren ist aufgrund der hohen Anzahl von rund 24.000 involvierten IP-Adressen kaum möglich.

Einfach prüfen, ob Ihre Webseite betroffen ist

Über den Server-Log haben Administratoren von WordPress-Seiten die Möglichkeit festzustellen, ob ihre Seiten gehackt wurden. Liefert die Abfrage nach Einträgen mit „wp-config.php“ den Antwort-Code „200“ ist die Seite betroffen. In diesem Fall sollten umgehend Kennwörter aller Datenbanken geändert und alle Authentifizierungsschlüssel sowie Salts ausgetauscht werden.

Patchen, patchen, patchen….. 

…ist die beste Präventivmaßnahme. Dass bekannte Schwachstellen als Einfallstor zum Zugang für WordPress-Seiten gewählt werden, ist der „Klassiker“. Die Mehrheit aller beobachteten Angriffe zielt auf Sicherheitslücken ab, die seit Monaten oder gar Jahren bekannt sind und nicht gepatcht wurden. Daher sollten Webseiten-Administratoren stets alle Plug-ins auf den neuesten Stand bringen und sämtliche Plug-ins, die aus dem WordPress-Plug-in-Repository entfernt wurden, löschen.