Wie würdest du vorgehen, wenn du eine WordPress Seite knacken musst?

Ich schaue mir zuerst grob das Frontend der Website an.

  • Gibt es Formulare mit Eingabefeldern?
  • Gibt es Logins und Kundenaccounts?
  • Gibt es Social Media Feeds die eingebunden wurden?

Dann schaue ich mir den Quellcode an.

  • Welche WordPress Version wird verwendet?
  • Welches Theme und welche Plugins werden in welcher Version verwendet?

Dann schaue ich, ob ich via WP Rest API Autoren-Namen rausbekomme. In 90% der Fällen ist der Autorenname auch gleich der Benutzername.

Dann schaue ich mir die Standard WordPress-Login Links an.

  • Gelange ich via /wp-admin, /admin, /login oder /wp-login.php zur Anmeldeseite?

Wenn ich auf die Login-Seite komme gebe ich den Autoren-Namen als Benutzernamen und irgendein Passwort ein.

  • Welche Fehlermeldungen zeigt es an?
    • Wenn es heisst, dass nur das Passwort falsch ist: den Benutzernamen haben wir nun schon.

Dann teste ich andere Benutzernamen einige Male aus.

  • Gibt es limitierte Login-Versuche oder kann ich so lange probieren wie ich will?

Wenn ich so lange probieren kann wie ich will und den Benutzernamen habe:

  • Dann kann ich Passwortlisten auf die Login-Seite jagen.
  • Wenn irgendein Passwort der 10’000 Passwörter stimmt bin ich drin.
    • Je nachdem wie es konfiguriert ist, kann ich so auch den Server mit Anfragen überladen. Das will ich nicht, denn dann wird die komplette Website nicht mehr angezeigt und das bringt mir auch nichts.

Falls nirgendwo eine Hürde eingebaut wurde, komme ich so theoretisch nur via Bruteforce Attacke in die WordPress Website rein (und sehr viele WordPress Websites haben 0 Hürden eingebaut).

—–

Dann kann ich unabhängig von der WP Anmeldeseite schauen, ob die /wp-content direkt via Browser aufrufbar sind. (Auch das kommt häufig vor).

So gelange ich direkt zu allen Inhalten. Wenn du E-Books, Videos, PDFs oder sonst was verkaufst dann sind diese häufig im /wp-content Ordner drin. Und wenn ich dort direkt Zugriff habe, kann ich es mir auch einfach gratis direkt vom Server herunterladen.

Je nachdem geht das mit PDFs und Ebooks direkt via der Google Suche. Ich kann dort die Seite angeben und dass Sie mir alle PDFs oder Ebooks verlinken soll. So bekomme ich direkt via Google Suchergebnisse alle PDFs und kann mir diese direkt herunterladen.

Das sind alles nur „oberflächliche“ Methoden.

Es gibt diverse Tools mit welchen WordPress Websites auf deren Sicherheit überprüft werden können. Wenn diese Tools jemand mit böswilligen Absichten nutzt, kommt man sehr schnell in WordPress Websites rein. Das krasse dabei, du brauchst auch keine Programmierkenntnisse dafür. Nur die richtigen Tools, ein 5 Minuten Anleitungsvideo und schon bist du Hacker.

Und genau das ist das Hauptproblem heutzutage. Böse Absichten gekoppelt mit einigen mächtigen Tools und zusätzlich dazu auch noch AI Modelle, na bravo.

Ja, innerhalb der letzten sechs Monate haben sich Angriffe auf diverse Websites vervierfacht. Wird ab und zu ein bisschen Mühsam.

Das gute dabei, 95% dieser Angriffe sind von „Bots“, also programmierten „Crawlern“ die böswillig überall ein bisschen herumstochern. Es gilt, hauptsächlich mal die abzuwehren.

Was du dafür tun kannst (und nein, diese Massnahmen sind nicht nutzlos und sinnlos. Gegen den Grossteil der dummen Bots bieten diese Massnahmen 100% Sicherheit).

  • der Benutzername darf nie admin lauten.
  • ändere deinen Benutzernamen in der WordPress Datenbank, nachdem du den erstellt hast
    • falls jemand den Autorennamen rausbekommt, hat er den benutzernamen nicht automatisch
  • nutze Passwort.Generatoren für deine Passwörter und nutze nur „sehr starke“ oder „in mehreren Millionen Jahren kackbare“ Passwörter
    • nutze Passwortmanager
    • Passwörter sollen nicht „leicht zu merken sein“!!!
  • Limitiere Login-Versuche auf 5 Versuche. Wenn nach 5 Versuchen noch immer alles falsch ist, wird die IP Adresse geblockt
  • Ändere die Standard /wp-admin, /wp-login.php Links. Z.B mit WPS Hide Login
  • Blende wenn möglich alle Einträge im head deiner Website aus, damit man nicht schon dort sieht was für Themes und Plugins du nutzt
    • Theoretisch kann alles angepasst werden, auch /wp-content Links.
    • Es ist also möglich, dass du komplett verschleiern kannst, dass du WordPress verwendest
      • der Aufwand dafür lohnt sich kaum
  • Rest API Autoren-Links verstecken/deaktivieren
    • Kann zu Problemen mit Theme & Plugins führen