Vor nicht allzu langer Zeit wurde ein WordPress XML-RPC-Exploit genutzt, um  DDoS und Brute-Force-Angriffe gegen WordPress-Webseiten durchzuführen.

Da die Beliebtheit von WordPress kontinuierlich steigt und WordPress einen immer höheren Marktanteil an Website Content Management Systems (CMS) verzeichnen kann, haben derlei Angriffe stark zugenommen und stellen ein fortwährendes Sicherheitsrisiko dar, das WordPress-Entwickler sowie Besitzer von Webseiten angehen müssen.

Distributed Denial-of-Service-Angriffe (DDoS)

Bei DDoS-Angriffen beabsichtigt der Angreifer, eine Webseite oder einen Dienst zu unterbrechen, indem er die Seite oder den Dienst mit Informationen und Traffic überflutet. Das U.S. Computer Emergency Readiness Team (US-CERT) sagt:

“Bei einem Denial-of-Service (DoS)-Angriff, versucht der Angreifer, die autorisierten Nutzer davon abzuhalten, Zugang zu ihren Daten oder Diensten zu erhalten. Durch das Anpeilen Ihres Computer und seiner Netzwerkverbindung oder des Computers und Netzwerks der Webseiten, die Sie benutzen möchten, ist der Angreifer in der Lage, Ihnen den Zugang zu E-Mails, Webseiten, Online-Konten (Online-Banking, etc.) oder anderen Diensten, die auf den betroffenen Computer angewiesen sind, zu versperren.“

Normalerweise bedeuten größere DDoS-Angriffe die Verwendung multipler Computersysteme, Webseiten und Server, die kompromittiert wurden und nun aus der Ferne von dem Angreifer kontrolliert werden können. Diese Netzwerke sind auch unter der Bezeichnung Botnets bekannt und können hunderte oder sogar tausende von kompromittierten Systemen beinhalten. Ein einfacherer DDoS-Angriff kann jedoch von einem einzigen Computer gestartet werden und eine Webseite oder einen Dienst mit nur geringfügigem Aufwand unterbrechen.

In beiden Fällen können WordPress-Seiten kompromittiert und zu diesem Zweck  missbraucht werden. Bei einem der größten Fälle im Jahr 2014 wurden mehr als 162.000 WordPress-Seiten für nur einer einzigen DDoS-Angriff verwendet.

Brute Force Angriffe gegen WordPress Seiten  

Bei Brute-Force-Angriffen geht es eher darum, Zugang zu einer Webseite oder einen Webdienst zu erhalten, als diese zu unterbrechen. Typischerweise verwenden die Angreifer verschiedene Methoden, um das Einreichen von Login- und Authentifizierungsanfragen zu automatisieren, um zu versuchen, eine Webseite oder die Sicherheit des Dienstes zu unterwandern und Zugriff auf Nutzer- und Adminkonten und letztendlich auf  Server und Architektur zu erlangen.

Open Web Application Security Project (OWASP) sagt:

“Ein Brute-Force-Angriff kann sich auf unterschiedliche Arten äußern. Vor allem aber besteht er daraus, dass ein Angreifer vorbestimmte Werte konfiguriert, Anfragen an einen Server stellt, der diese Werte verwendet, und dann die Antwort auswertet. Um effizienter zu sein, nutzt der Angreifer womöglich einen sogenannten „Wörterbuchangriff“ (Dictionary Attack) – entweder unverändert oder abgewandelt – oder einen klassischen Brute-Force-Angriff mit vorgegebenen Zeichenklassen (z.B.: alphanumerisch, Sonderzeichen, mit oder ohne Beachtung der Groß- und Kleinschreibung). Wenn man eine vorgegebene Methode, die Anzahl der Versuche und die Effizienz des Systems, das diesen Angriff ausführt, sowie die Leistung des Systems, das angegriffen wird, berücksichtigt, so ist der Angreifer in der Lage, die ungefähre Zeit abzuschätzen, die benötigt wird, um alle ausgewählten vorgegebenen Werte zu übermitteln“.

Bei Brute-Force-Angriffen in WordPress könnten Angreifer ein Nutzerpasswort oder das Administrator Passwort identifizieren und für den Zugriff auf das Nutzerkonto verwenden, aber auch auf anderen Webseiten, für die der Nutzer womöglich denselben Benutzernamen und dasselbe Passwort benutzt. Wenn die WordPress-Seite persönliche Informationen, Zahlungsinformationen für eCommerce oder andere sensible Daten beinhaltet, die an das Konto des Nutzers geknüpft sind, dann kommen die Angreifer auch daran.

Und: Falls Angreifer Zugang auf das Admin-Konto (Administrator Login) für eine WordPress-Seite erlangen, sind sie sogar in der Lage, die gesamte Webseite zu kompromittieren, abstürzen zu lassen oder komplett zu löschen. Sie können Codes einsetzen mit dem Ziel größtmöglichen Schaden anzurichten oder ganze Datenbanken mit sensiblen Informationen wie Logins und Passwörter stehlen oder löschen.

Schwachstellen von WordPress: Pingback und XML-RPC

DDoS und Brute-Force-Angriffe gegen WordPress-Seiten nutzten auch einen WordPress Pingback Exploit sowie die grundsätzliche Verwundbarkeit von WordPress XML-RPC.

WordPress verwendet die XML-RPC-Schnittstelle, um es Nutzern zu ermöglichen, auf ihrer Seite unter Verwendung vieler beliebter Weblog Clients zu posten.

Diese Funktionalität kann mithilfe von WordPress-Plugins erweitert werden. WordPress bietet seine eigene API an und unterstützt Blogger API, metaWeblogAPI, Movable Type API und Pingback API.

Leider weist genau diese Funktionalität Schwachstellen auf, die Angreifer ausnutzen können, um Angriffe wie jenen unter Ausnutzung des Pingback-Exploits zu führen.

Pingback ist eine LinkBack-Methode, die Besitzer von WordPress-Seiten und Autoren nutzen können, um eine Benachrichtigung anzufordern für den Fall, dass jemand sich mit ihren Posts oder Webseiten verbindet.

Wenn Pingback aktiv ist und ein Autor oder Administrator einer WordPress-Seite Inhalt postet, der mit einer weiteren Seite verlinkt ist, wird eine XML-RPC-Anfrage an die andere Seite geschickt, die automatisch einen Pingback an die ursprüngliche Seite sendet, um zu überprüfen, ob es sich um einen aktiven eingehenden Link handelt. Sobald dies bestätigt ist, wird der Pingback protokolliert.

Laut Daniel Cid, Gründer und CTO von Securi Inc., einem Unternehmen für Antivirus- und Anti-Malware-Programme, „kann jede WordPress-Seite mit aktiviertem Pingback (der per Default eingestellt ist) für eine DDoS-Attacke gegen andere Webseiten benutzt werden“.

Indem er einen einfachen Befehl und eine XML-RPC-Anfrage verwendet, kann der Angreifer Pingback ausnutzen und möglicherweise tausende von ansonsten seriösen und scheinbar harmlosen WordPress-Seiten dazu missbrauchen, um einen DDoS-Angriff zu führen.

Wie Cid schon zuvor in einem Blog-Post berichtete, haben die Angreifer nun damit begonnen, weitere XML-RPC-Schwachstellen und die XML-RPC wp.getUsersBlogs Funktion zu benutzen, um großangelegte Brute-Force-Angriffe gegen WordPress-Seiten zu führen.

Aufgrund der vielen Aufrufe in WordPress XML-RPC, die einen Nutzernamen und ein Passwort erfordern, können Angreifer eine Methode wie wp.getUsersBlogs verwenden, um so viele Passwörter wie nur möglich auszuprobieren oder zu erraten und Zugriff auf die WordPress-Adminkonten oder Konten anderer Nutzer zu bekommen.

XML-RPC liefert einen schnelleren Weg, um Brute-Force-Angriffe und Anmeldeversuche durchzuführen als die Verwendung des /wp-login.php. Auch ist die Verwendung von XML-RPC schwerer aufzuspüren.

 Wie Sie Ihre WordPress-Seite gegen DDoS-Angriffe schützen können

WordPress 3.9.2 beinhaltete eine Neuerung, die die Auswirkungen einiger DDoS-Angriffe verringerte. Es bleibt dennoch angreifbar, wenn Pingback und XML-RPC noch aktiv sind.

Um Ihre WordPress-Seite vor DDoS-Angriffe zu schützen, müssen Sie Pingback deaktivieren und sich überlegen, XML-RPC vollständig zu deaktivieren, wenn Sie es nicht benötigen bzw. wenn Sie die höchstmögliche Sicherheit für Ihre Seite erreichen möchten.

WordPress stellt Anweisungen, wie Sie Pingback auf Ihrer Seite deaktivieren können, zur Verfügung. Ebenso gibt es zwei benutzerfreundliche Plugins, um Pingback und XML-RPC zu deaktivieren: 

https://wordpress.org/plugins/disable-xml-rpc-pingback/

https://wordpress.org/plugins/prevent-xmlrpc/

Wie Sie Ihre WordPress-Seite gegen Brute-Force-Angriffe absichern können

Indem Sie XML-RPC deaktivieren, machen Sie es Angreifern unmöglich, es für Brute-Force-Attacken zu verwenden. Allerdings stellt das keine Lösung gegen Schwachstellen und das Risiko einer Brute-Force-Attacke dar. Ebensowenig löst es das noch gravierendere Problem, dass bei WordPress Passwörter zur Nutzerauthentifizierung  verwendet werden. Passwörter bieten wohl die größte Angriffsfläche bei der Absicherung von Webseiten und Daten.

Sie können mithilfe einer Vielzahl von Methode gestohlen oder kompromittiert werden. Zu den Methoden zählen u.a. Brute-Force- und Hacking-Angriffe sowie Bedrohungen durch Phishing und Schadprogramme. Nicht zuletzt sind Passwörter für einen potentiellen Angreifer der größte Anreiz, überhaupt erst einen Angriff auf eine Webseite durchzuführen.

Solange Angreifer in der Lage sind, Passwörter mithilfe von Brute-Force-Angriffen zu erraten oder sie während der Übertragung oder direkt von den Servern zu stehlen, können sie auch Zugang zu den Konten von Administratoren oder Nutzern erhalten, WordPress-Seiten kompromittieren und Daten stehlen oder diese zur Durchführung weiterer Angriffe benutzen.

Außerdem stellt die Speicherung von Passwörtern oder anderen Zugangsdaten selbst in verschlüsselter Form eine große Verlockung für Angreifer dar, bestimmte WordPress-Seiten und die sie bereitstellenden Server ins Visier zu nehmen.

Wie Bill Gates 2004 auf einer Sicherheitskonferenz erklärte,  bewältigen Passwörter “einfach nicht die Herausforderung, etwas wirklich abzusichern“.

Diese Erkenntnis hat sich in den letzten Jahren verbreitet, besonders mit dem Beginn von Cyberangriffen auf Einzelhändler wie Target und Home Depot oder auf Geldinstitute und Online-Banking-Systeme – alles Angriffe, die  in der Öffentlichkeit sehr große Beachtung fanden.

Wie Heather Adkins, Leiterin für IT-Sicherheit bei Google, es einmal formulierte: “Passwörter sind tot,” und “das Spiel ist aus” für Passwörter als Hauptmethode, um Nutzer und deren Daten abzusichern.

Laut WordPress-Gründer Matthew Mullenweg müssen die Administratoren von WordPress-Seiten eine Zwei-Faktor-Authentifizierung einsetzen, um ihre Seiten vor Brute-Force-Angriffen oder anderen, durch Passwörter begründetete Schwachstellen zu schützen.

Wie wir jedoch in unserem früheren Blogartikel  “Zwei Faktor Authentifizierung: Welche Methode ist sicher und benutzerfreundlich?“ bereits ausführten, benutzen die meisten Lösungen zur Zwei-Faktor-Authentifizierung auch weiterhin Passwörter als Teil des Anmeldeprozesses, was das zugrundeliegende Problem mit Passwörter natürlich immer weiter fortführt.

Der beste Weg, um Ihre WordPress-Seite vor Brute-Force-Angriffen zu schützen, ist die Entfernung von Passwörtern und anderen sensiblen Zugangsdaten aus dem Anmeldeprozess und ihre Ersetzung durch eine einfache, mobile Authentifizierung, die Public Key-Kryptographie verwendet.

Mit diesem Ansatz gibt es keine zu erratenden Passwörter bzw. Zugangsdaten. Brute-Force-Attacken bleiben somit wirkungslos. Indem auch keine Passwörter oder Zugangsdaten während des Anmeldevorgangs eingegeben, übertragen oder auf einem Server gespeichert werden, haben auch Phishing-Angriffe und Schadprogramme keine Chance.

All dies beseitigt sowohl den eigentlichen Anreiz als auch die Angriffsmöglichkeiten, da physisch gesehen einfach nichts vorhanden ist, was Angreifer zum Zweck des Zugriffs auf Webseiten oder Konten stehlen oder erraten könnten.

Als kleiner Schritt in Richtung größtmögliche Sicherheit sollten WordPress-Administratoren diese hochmoderne Authentifizierungsmethode zum Schutz ihrer Admin-Konten aktivieren. Dasselbe Sicherheitsniveau kann aber auch auf alle Nutzerkonten einer WordPress-Seite ausgedehnt werden. Durch die mögliche Selbstregistrierung müssen die Administratoren die Zwei-Faktor-Authentifizierung auch nicht für andere WordPress-Nutzer aufsetzen.

Das WordPress Sicherheits-Plugin für eine Zwei-Faktor-Authentifizierung

SecSign ID, entwickelt von SecSign Technologies, ist ein hochmodernes Anmeldeverfahren, das über ein kostenloses WordPress Sicherheits-Plugin verfügbar ist und passwortbasierte WordPress-Anmeldungen durch 2048 Bit verschlüsselte Schlüsselpaare und mobile Authentifizierung ersetzt. SecSign ID macht Schluss mit dem notwendigen Erinnern oder der Eingabe langer, komplizierter Passwörter. Ebenso kann hiermit auf Installation, Benutzung oder Update von CAPTCHA-Plugins zum Schutz vor nicht autorisierten Logins verzichtet werden.

Mithilfe des kostenlosen WordPress-Plugins und der mobilen und ebenfalls kostenlosen SecSign ID App können Administratoren sich mit einer einfachen, vierstelligen PIN (bzw. Passcode) oder durch Verwendung ihres Fingerabdrucks über Apples Touch ID auf ihren WordPress-Seiten anmelden. PIN, Passcode oder Fingerabdruck dienen lediglich zum Nachweis der Identität. Passwörter oder andere sensible Zugangsdaten werden niemals über die WordPress-Anmeldung eingegeben, übertragen oder auf einem Server gespeichert.

PIN oder Passcode könne sogar mit dem Touch ID Fingerprint kombiniert werden, um eine weitere Schutzschicht um das Login zu bilden. Ganz gleich welche der Möglichkeiten, die die SecSign ID bietet, ausgewählt wird: Die Authentifizierung ist innerhalb weniger Sekunden abgeschlossen.

Außerdem verhindert die SecSign ID für WordPress Authentifizierungsversuche über XML-RPC. Damit werden Brute-Force-Angriffe wirkungslos, selbst wenn XML-RPC aktiviert ist.

Durch die Verwendung einer Technologie für digitale Signaturen, die vom Konzept her der Sicherheit für Smartcards und Geldautomaten ähnelt, und einer Kombination von 2048 Bit langen, verschlüsselten und asymmetrischen Schlüsselpaaren macht die SecSign ID eine Kompromittierung von WordPress-Konten praktisch unmöglich. Ebenso erfüllt sie branchenführende Bestimmungen für eine Authentifizierung ohne Verwendung von Passwörtern.

In einem der nächsten Posts werden wir weitere Einzelheiten für die Anwendung der SecSign ID für die Sicherheit von WordPress Admin-Konten erörtern. Auch werden wir das Potential der SecSign ID zur grundsätzlichen Bereitstellung einer Zwei-Faktor-Authentifizierung für WordPress-Nutzerkonten herausarbeiten.

Weitere Einzelheiten über die fortschrittliche Kryptographie und der starken Sicherheit der SecSign ID erfahren Sie auch auf unserer Produktseite. Sie können sich unsere kostenlosen Plugins für Entwickler  herunterladen, und einen Test des Anmeldevorgangs über unsere Webseite durchführen.

Über SecSign Technologies 

SecSign Technologies ist eine Schwestergesellschaft der SecCommerce Informationssysteme GmbH, einem Pionier im Bereich der Kryptographie mit über 16 Jahren Erfahrung in der Entwicklung von Public Key Infrastrukturen (PKI), elektronischer Signatur und Smartcardtechnologie. Die Sicherheitsexperten und Kryptographen von SecSign haben Systeme entwickelt und eingesetzt, die erfolgreich vertrauliche Geschäftsdaten und Nutzerzugänge für zahlreiche Großkonzerne wie IBM, Siemens, Johnson & Johnson, Fujitsu, T-Systems, BMW und Audi absichern.