So beheben und verhindern Sie XSS-Angriffe in WordPress
Veröffentlicht: 2022-06-14Machen Sie sich Sorgen, dass Hacker Ihre Website angreifen könnten?
Cross-Site-Scripting, auch XSS genannt, ist einer der häufigsten Angriffe auf WordPress-Seiten. Hacker finden Schwachstellen auf Ihrer Website und verwenden sie, um Informationen zu stehlen und Ihre Website zu missbrauchen.
Noch schlimmer ist, dass diese Hacks zu schwerwiegenderen Schäden führen können, wenn Sie sie nicht sofort beheben – die Art, von der es wirklich schwer ist, sich davon zu erholen.
Du kannst diese Hacks verhindern, indem du eine Firewall auf deiner WordPress-Seite installierst.
Wenn Ihre Website bereits angegriffen wird, zeigen wir Ihnen in einfacher, anfängerfreundlicher Sprache, wie Sie das Problem sofort beheben können. In diesem Tutorial beschränken wir den Cybersecurity-Jargon auf das Nötigste. Wir zeigen Ihnen auch, wie Sie zukünftige Angriffe verhindern können.
Lassen Sie uns zunächst schnell verstehen, was bei einem XSS-Angriff passiert, damit Sie besser darauf vorbereitet sind.
Was ist ein XSS-Angriff in WordPress?
XSS steht für Cross Site Scripting, eine Art Injektionsangriff, bei dem Hacker bösartige Skripte in eine Website einschleusen.
Diese Skripte werden auf einer vertrauenswürdigen Website als guter Code getarnt. Wenn ein Benutzer als Nächstes auf dieser Website landet, führt sein Browser den gesamten Code aus, einschließlich des schädlichen Skripts, weil er denkt, dass es sich um vertrauenswürdige Anweisungen handelt.
Einfacher ausgedrückt, stellen Sie sich vor, Sie sind ein Spion und haben gerade eine offizielle E-Mail von der Regierung über eine streng geheime Mission erhalten. Es enthält alle Anweisungen, die Sie bis zum T befolgen müssen.
Was Sie nicht wissen, ist, dass jemand diese E-Mail abgefangen und ein paar weitere eigene Anweisungen hinzugefügt hat. Die Regierung hat keine Ahnung davon und Sie machen sich nicht die Mühe, es noch einmal zu überprüfen, weil Sie der Quelle vertrauen.
Einiges davon ergibt keinen Sinn, aber Sie sind darauf trainiert, jeden Befehl zu befolgen, um Ihre Mission zu erfüllen.
In diesem Szenario ist die Regierung Ihre Website und der Spion der Browser des Benutzers. Der Browser folgt den Anweisungen Ihrer Website und kann nicht zwischen guten und schlechten Skripten unterscheiden.
Diese Skripte sind normalerweise in Javascript, einer der beliebtesten und am weitesten verbreiteten Programmiersprachen. Diese Angriffe können jedoch mit jeder clientseitigen Sprache erfolgen.
Nun gibt es viele Möglichkeiten, einen XSS-Angriff durchzuführen. Eine Möglichkeit besteht darin, ahnungslosen Benutzern einen Link zu senden, damit sie darauf klicken. Sobald sie darauf klicken, kann der Angriff möglicherweise eine oder mehrere der folgenden Aktionen ausführen:
- Leiten Sie Benutzer auf eine bösartige Website um
- Erfassen Sie die Tastenanschläge des Benutzers
- Führen Sie Webbrowser-basierte Exploits aus
- Stehlen Sie Cookie-Informationen des Benutzers, der in ein Konto eingeloggt ist
Wenn der Hacker in der Lage ist, Cookie-Informationen zu stehlen, kann er das Konto des Benutzers vollständig kompromittieren. Wenn Sie beispielsweise im wp-admin-Panel Ihrer Website angemeldet sind, kann der Hacker Ihre Anmeldeinformationen stehlen und sich bei Ihrer Website anmelden.
Um diese Angriffe zu verhindern, müssen Sie sicherstellen, dass alle Benutzerdaten validiert und ordnungsgemäß bereinigt werden, bevor sie auf Ihre Website gelangen. Auf diese Weise kann keine Benutzereingabe schädlicher Javascript-Code sein. Darüber hinaus müssen Sie sicherstellen, dass es auf Ihrer Website keine XSS-Schwachstellen gibt, die einem Hacker einen Angriff ermöglichen könnten.
Wir haben kaum an der Oberfläche von XSS-Angriffen gekratzt, aber wir hoffen, dass Sie ein anständiges Verständnis dafür haben, wie ein WordPress-XSS-Angriff funktioniert. Wenn Sie nun vermuten, dass Ihre Website gehackt wurde, folgen Sie unserer einfachen Schritt-für-Schritt-Anleitung unten.
So finden und beheben Sie einen XSS-Angriff in WordPress
Um Malware oder Hacks auf Ihrer Website zu finden, müssen Sie Ihre gesamte Website einschließlich aller Dateien und Datenbanken gründlich scannen.
Wir verwenden Sucuri, um Ihre gehackte Website zu scannen und zu bereinigen. Sucuri bietet Ihnen ein robustes Sicherheitssetup, einschließlich einer Firewall, eines Malware-Scanners und eines Malware-Reinigers.
Sucuri bietet einen kostenlosen Website-Malware-Scanner, den Sie auf Ihrer WordPress-Seite installieren können, indem Sie zur Registerkarte Plugins » Neu hinzufügen navigieren.
Wir empfehlen die Verwendung des serverseitigen Premium-Scanners. Dadurch wird Ihre Website auf den Kopf gestellt, um jede Spur von Malware zu finden.
Darüber hinaus sind hier einige seiner Highlights:
- Überwacht Spam und schädliche Skripte
- Sucht nach versteckten Hintertüren, die von Hackern erstellt wurden
- Erkennt Änderungen an DNS (Domain Name System) und SSL
- Sucht nach schwarzen Listen bei Suchmaschinen und anderen Behörden
- Überwacht die Verfügbarkeit der Website
- Sofortige Benachrichtigungen per E-Mail, SMS, Slack und RSS
Weitere Informationen finden Sie in unserem Sucuri-Test.
Sucuri hat einen Preis von 199,99 $ pro Jahr. Wenn das Ihr Budget übersteigt, können Sie andere Sicherheits-Plugins ausprobieren. Siehe unsere Liste: Die 9 besten WordPress-Sicherheits-Plugins im Vergleich.
Stellen Sie bei der Auswahl eines Sicherheits-Plugins sicher, dass es Ihnen alle Cyber-Sicherheitsfunktionen bietet, die Sie benötigen, um Malware-Infektionen zu finden und zu beheben und Ihre Website zu schützen.
Schritt 1: Scannen Ihrer Website
Um zu beginnen, müssen Sie sich für einen Plan bei Sucuri anmelden. Melden Sie sich dann beim Sucuri-Dashboard an, wo Sie Ihre Website hinzufügen können.
Hier müssen Sie Ihre Website verbinden, indem Sie Ihre FTP-Anmeldeinformationen eingeben. Wenn Sie Ihre FTP-Anmeldeinformationen nicht kennen, können Sie diese von Ihrem Webhost erhalten.
Wenn Ihre Website verbunden ist, führt Sucuri automatisch einen gründlichen Scan Ihrer Website durch. Sobald dies erledigt ist, wird Ihnen ein detaillierter Bericht auf der Registerkarte „Meine Websites“ angezeigt.
Jetzt können Sie neben der Warnmeldung auf die Schaltfläche „Details“ klicken. Dadurch wird die Überwachungsseite geöffnet, auf der Sie die Details des Hacks oder der Infektion anzeigen können.
Schritt 2: Anfordern einer Malware-Bereinigung
Auf der Überwachungsseite können Sie sehen, welche Art von Malware Ihre Website infiziert hat. Sucuri fügt eine Bewertung hinzu, um das Risikoniveau anzugeben. Wenn es sich also um ein kritisches oder hohes Risiko handelt, wissen Sie, dass Sie es sofort beheben müssen. Darüber hinaus zeigt es Ihnen auch, ob Ihre Website von Suchmaschinen auf die schwarze Liste gesetzt wurde.
Jetzt, da Sie wissen, dass Ihre Website infiziert ist, müssen Sie sie bereinigen, und Sucuri macht dies wirklich einfach für Sie. Um mit dem Vorgang zu beginnen, klicken Sie auf die Schaltfläche „Meine Website aufräumen“ .
Klicken Sie auf der nächsten Seite auf die Schaltfläche Neue Anfrage zum Entfernen von Malware und ein Formular wird angezeigt, in das Sie die Details Ihrer Website eingeben können.
Einfach das Formular ausfüllen und absenden. Sobald dies erledigt ist, werden die Sicherheitsexperten von Sucuri Ihre Website für Sie bereinigen. Falls Sie einige der für das Formular erforderlichen Details nicht kennen, können Sie sie bei Ihrem Webhoster erfragen.
Jetzt fragen Sie sich vielleicht, wie lange es dauern würde, Ihre Website zu bereinigen.
Sucuri gibt Benutzern des Business-Plans den ersten Vorzug. Sie versichern eine Bearbeitungszeit von 6 Stunden. Bei anderen Plänen hängt es davon ab, wie komplex die Infektion Ihrer Website ist und wie viele Anfragen sie in der Warteschlange haben.
Unmittelbar nach einem Angriff empfehlen wir dringend, alle Benutzer von Ihrer Website abzumelden und Ihre Anmeldedaten zu ändern, um auf der sicheren Seite zu sein.
So verhindern Sie XSS-Angriffe auf Ihre WordPress-Site
Es ist immer am besten, Ihre Website zu schützen und diese Art von Malware-Angriffen auf Ihrer Website zu verhindern. Es ist viel einfacher und billiger, als zu versuchen, eine gehackte Website zu reparieren. Hier sind unsere wichtigsten empfohlenen Schritte, um XSS-Angriffe auf Ihre Website zu verhindern.
1. Aktivieren Sie eine Web Application Firewall (WAF)
Sucuri hat eine der besten Firewalls für WordPress-Seiten. Es blockiert nicht nur XSS-Angriffe, sondern auch alle möglichen anderen Malware-Angriffe wie DDoS, Brute Force, Phishing und SQL-Injektionen.
Die Firewall sitzt vor Ihrer Website und scannt jeden Benutzer, der durchkommt. Es identifiziert und blockiert bösartige Bots, bevor sie Ihre Website erreichen.
Um die Sucuri-Firewall zu aktivieren, navigieren Sie in Ihrem Sucuri-Dashboard zur Registerkarte Firewall .
Wählen Sie Ihre Website aus und Sie sehen Einrichtungsanweisungen, denen Sie folgen können. Sucuri bietet Ihnen 2 Optionen zum Einrichten der Firewall:
1. Automatische Integration: Geben Sie einfach Ihre Hosting-Anmeldeinformationen mit cPanel oder Plesk ein. Bei dieser Methode müssen Sie Sucuri Zugriff auf den Server Ihrer Website gewähren, um die Firewall automatisch auf Ihrer Website einzurichten.
2. Manuelle Integration: Sie können die Firewall selbst einrichten, ohne Sucuri internen Zugriff zu gewähren. Klicken Sie zunächst auf den internen Domänenlink und vergewissern Sie sich, dass er geladen wird.
Als Nächstes können Sie Ihr DNS so konfigurieren, dass Ihr Webverkehr auf die Sucuri-Firewall gerichtet wird. Dazu müssen Sie auf die DNS-Einträge in Ihrem Hosting-Konto zugreifen. Hier können Sie den „A“-Eintrag Ihrer Website ändern und die von Sucuri bereitgestellten IP-Adressen eingeben.
Wenn Sie gestresst sind, dass dies alles zu kompliziert ist, können Sie Ihren Webhost um Hilfe bitten und er wird Sie durch den Prozess führen. Darüber hinaus können Sie auch ein Support-Ticket bei Sucuri erstellen und das Support-Team hilft Ihnen beim Ändern der DNS-Einträge.
Um ein Ticket zu eröffnen, finden Sie einen Link in den manuellen Anweisungen auf derselben Seite.
Nachdem Sie die Firewall eingerichtet haben, dauert es normalerweise einige Stunden, bis die Änderungen übernommen werden. Sie können mit einer maximalen Wartezeit von 48 Stunden rechnen.
Wenn Sie die Firewall aktivieren, fügt sie Ihrer Website automatisch Sicherheitsheader hinzu, um sie vor XSS-Angriffen zu schützen.
Wenn es einen versuchten XSS-Angriff gibt, blockiert Sucuri ihn und meldet ihn Ihnen auf der Registerkarte „ Berichte “.
Was wir an der Sucuri-Firewall lieben, ist, dass sie für jeden, einschließlich Anfänger, so einfach zu bedienen ist. Sie müssen kein Cyber-Sicherheitsexperte sein oder Programmierkenntnisse haben.
Sie können alle Arten von Schutzfunktionen mit nur einem Klick auf der Registerkarte Einstellungen » Sicherheit aktivieren.
So können Sie beispielsweise DDoS-Schutz und Geoblocking aktivieren, um Hackern den Angriff auf Ihre Website zu erschweren.
Um hier eine Sicherheitsfunktion zu aktivieren, müssen Sie nur das Kontrollkästchen aktivieren und Ihre Einstellungen speichern. Wenn Sie es deaktivieren müssen, müssen Sie einfach das Kontrollkästchen deaktivieren.
Abgesehen davon wird das Sucuri-Plugin:
- Scannen und überwachen Sie regelmäßig auf Spam und bösartigen Code
- Benachrichtigen Sie über jede Cross-Site-Scripting-Schwachstelle
- Blockieren Sie schädliche Bots und Hacker
- Suchen Sie bei Suchmaschinen und anderen Behörden nach schwarzen Listen
- Überwachen Sie die Verfügbarkeit der Website
- Erkennen Sie Änderungen an DNS (Domain Name System) und SSL
- Senden Sie Ihnen sofortige Sicherheitswarnungen per E-Mail, SMS, Slack und RSS
So ist Ihre Website jederzeit geschützt.
2. Verwenden Sie sichere Formulare
Auf einer anfälligen Website sind Formulare eines der häufigsten Ziele für Hacker. Wenn Ihr Formular ungesichert ist, bedeutet dies, dass jeder einfach schädlichen Code in Ihre Formularfelder eingeben kann.
Unsere Empfehlung zum Sichern der Formulare Ihrer Website ist WPForms. Es ist der WordPress-Formularersteller Nr. 1 mit integrierter Sicherheit, sodass Ihre Formulare von Anfang an geschützt sind.
Standardmäßig ist der Spam-Schutz der Formulare aktiviert. Außerdem können Sie Ihren Formularen sogar CAPTCHA hinzufügen, um Spam-Bots zu blockieren.
Sie können ein unsichtbares Captcha aktivieren oder den Typ, bei dem ein Benutzer ein kleines Rätsel lösen oder ein Kästchen ankreuzen muss, um zu beweisen, dass er ein Mensch ist.
3. Legen Sie Benutzerrollenberechtigungen fest
Wenn mehrere Personen an Ihrer Website arbeiten, ist es nicht ratsam, allen Administratorzugriff zu gewähren. Es ist besser, ihnen Rollen basierend auf den erforderlichen Berechtigungen zuzuweisen.
Mit WordPress können Sie Rollen erstellen für:
- höchster Vorgesetzter
- Administrator
- Editor
- Autor
- Mitwirkender
- Teilnehmer
Wenn ein Hacker jetzt die Kontrolle über das Konto eines Benutzers erlangt, sind seine Möglichkeiten auf Ihrer Website eingeschränkt.
4. Inaktive Benutzer automatisch abmelden
Hacker können sich Zugriff auf Benutzerkonten verschaffen, indem sie ihre Browsersitzungen kapern und Cookies stehlen.
Sie können dieses Risiko minimieren, indem Sie inaktive WordPress-Benutzer ausloggen.
Viele Sicherheits-Plugins verfügen über eine Abmeldefunktion für inaktive Sitzungen, oder Sie können das Plugin für inaktive Abmeldung verwenden.
5. Aktualisieren Sie Ihre Website regelmäßig
WordPress-Plugins, Themes und sogar Ihre WordPress-Installation werden regelmäßig aktualisiert. Sie werden sie in Ihrem WordPress-Dashboard sehen, sobald sie verfügbar sind:
Viele Websitebesitzer ignorieren Updates für eine lange Zeit, aber dies kann Ihre Website Hackern aussetzen. Updates enthalten normalerweise Fehlerkorrekturen, neue Funktionen und Verbesserungen der Software. Sie können auch Sicherheitspatches haben. Sie können sehen, ob ein Update einen Sicherheitspatch enthält, indem Sie die Details des Updates anzeigen.
Dies bedeutet, dass in der Software eine Schwachstelle gefunden wurde, die Hacker verwenden können, um Ihre Website anzugreifen. Wenn Entwickler Sicherheitsprobleme finden, beheben sie diese und veröffentlichen eine neue Version der Software.
Alles, was Sie tun müssen, ist die Software auf Ihrer Website zu aktualisieren.
Wenn Sie also sehen, dass es sich um einen Sicherheitspatch handelt, aktualisieren Sie ihn sofort, um das Risiko eines Hackerangriffs zu vermeiden.
Einer der Hauptgründe, warum Websitebesitzer Aktualisierungen ignorieren, ist, dass sie Ihre Website manchmal beschädigen oder Inkompatibilitätsprobleme verursachen können. Wir empfehlen, dass Sie das Update auf einer Staging-Site testen und es dann auf Ihrer Live-Site ausführen.
Damit haben Sie gelernt, wie Sie XSS-Angriffe auf Ihre WordPress-Site beheben und verhindern können.
Bevor wir zum Abschluss kommen, geben wir Ihnen noch einen Sicherheitstipp. Machen Sie immer regelmäßige Backups Ihrer Website.
Selbst mit den stärksten Sicherheitsmaßnahmen auf Ihrer Website können viele Dinge schief gehen. Beispielsweise kann ein Benutzer einen einfachen menschlichen Fehler machen, der Ihre Website zum Absturz bringt.
Sie können automatisierte Backups mit einem Backup-Plugin wie UpdraftPlus einrichten. Weitere Optionen finden Sie in unserer Liste der besten WordPress-Backup-Plugins.
Häufig gestellte Fragen
1. Ist WordPress anfällig für Cross-Site-Scripting-Angriffe?
Die WordPress-Kernsoftware wird von einigen der besten Experten der Welt entwickelt und gewartet. Ihre Software ist ziemlich felsenfest, aber denken Sie daran, dass keine Software frei von Schwachstellen ist.
Der Grund, warum WordPress-Websites häufig angegriffen werden, ist, dass die Plattform so beliebt ist. Und die meisten Benutzer installieren Tonnen von Designs und Plugins von Drittanbietern. In jedem dieser Elemente können Schwachstellen entstehen, die Hacker ausnutzen können, um Ihre Website zu hacken.
2. Gibt es verschiedene Arten von Cross-Site-Scripting-Angriffen?
Ja. Es gibt 3 Haupttypen von XSS-Angriffen:
- Gespeichertes XSS (auch bekannt als persistentes XSS): Angreifer speichern ihre Nutzlast auf einem kompromittierten Server, wodurch die Website anderen Besuchern bösartigen Code liefert.
- Reflected XSS: Die Payload wird in den Daten gespeichert, die der Browser an den Server sendet.
- DOM XSS: Hier ist nicht der Server selbst anfällig für XSS, sondern das JavaScript auf der Seite.
- Eigenes Cross-Site-Scripting: Angreifer können eine Schwachstelle ausnutzen, die einen wirklich spezifischen Kontext und manuelle Änderungen erfordert. Das Opfer können hier nur Sie selbst sein.
- Blindes Cross-Site-Scripting: Bei diesen Angriffen liegt die Schwachstelle häufig auf einer Seite, auf die nur autorisierte Benutzer zugreifen können. Der Angreifer kann das Ergebnis eines Angriffs nicht sehen.
3. Wie stelle ich sicher, dass es keine anderen Sicherheitsprobleme auf meiner Website gibt?
Stellen Sie sicher, dass auf Ihrer Website immer ein Sicherheits-Plugin installiert ist. Dies ist ein Muss für alle Arten von Websites, einschließlich WooCommerce, Blogs und Websites für kleine Unternehmen. Wir empfehlen Sucuri, aber Sie können sich auch Wordfence, MalCare und SiteLock ansehen. Weitere unserer Top-Empfehlungen findest du hier: Die 9 besten WordPress-Sicherheits-Plugins im Vergleich.
Das ist alles, was wir heute für Sie haben. Wir hoffen, dieser Beitrag hat Ihnen alles gegeben, was Sie zum Sichern Ihrer Website benötigen.
Weitere Informationen zur Website-Sicherheit finden Sie in unseren Ressourcen unter:
- Der vollständige WordPress-Sicherheitsleitfaden (für Anfänger geeignet)
- Die 5 besten WordPress-Schwachstellen-Scanner zum Auffinden von Bedrohungen
- Die 9 besten Aktivitätsprotokoll-Plugins zum Verfolgen und Prüfen Ihrer WordPress-Site
Diese Posts geben Ihnen weitere Möglichkeiten, Schwachstellen zu schließen und Ihre Website vor allen Risiken zu schützen.