Was ist ein WordPress Vulnerability Scanner und brauchst du einen?

Veröffentlicht: 2023-03-08

Es ist ziemlich sicher zu sagen, dass jede Software irgendeine Art von Schwachstellen hat. Dies bedeutet nicht unbedingt, dass die Software schlecht oder minderwertig ist – Schwachstellen können aus allen möglichen Gründen entstehen – von fehlgeschlagenen QA-Prozessen bis hin zu Umgebungsinkompatibilitäten oder Fehlkonfigurationen.

Schwachstellen können in zwei Kategorien eingeteilt werden – bekannt und unbekannt. Bekannte Schwachstellen wie XSS (Cross-Site-Scripting) und SQL-Injection sind Schwachstellen, die jeder kennt. Seriöse Softwareanbieter suchen immer nach diesen Schwachstellen und beseitigen sie während QA- und Testprozessen.

Auf der anderen Seite sind unbekannte Schwachstellen jene Schwachstellen, die nicht bekannt sind. Diese können durch Fehler im Code oder etwas in der Umgebung verursacht werden. Dank der großen Benutzerbasis von WordPress bleiben Sicherheitslücken nicht lange unbekannt. Sobald eine Schwachstelle entdeckt wird, wird sie bis zur Veröffentlichung eines Patches als Zero-Day-Schwachstelle bezeichnet.

In diesem Artikel werfen wir einen tiefen Blick auf WordPress-Schwachstellen, die verschiedenen Arten von verfügbaren Scannern und worauf Sie achten sollten, wenn Sie Ihr WordPress sichern möchten

Inhaltsverzeichnis

    • Was ist eine WordPress-Schwachstelle?
    • Den Unterschied zwischen einem Schwachstellenscanner und einem Sicherheitsscanner verstehen
    • Den Unterschied zwischen Black-Box- und White-Box-Tests verstehen
      • Black-Box-Tests
      • White-Box-Tests
    • Häufige WordPress-Schwachstellen
      • Veralteter WordPress-Core
      • Schwache Passwörter
      • Anfällige Plugins und Themes
      • Brute-Force-Angriffe
      • SQL-Injektion
    • Warum Sie nach Schwachstellen scannen sollten
    • Die besten WordPress-Schwachstellen-Scanner
      • WPScan
      • WPSec
      • Sucuri
      • Acunetix
    • Sichern Sie Ihr WordPress
    • Häufig gestellte Fragen
      • Welches Tool kann ich verwenden, um nach WordPress-Schwachstellen zu suchen?
      • Wie scanne ich meine WordPress-Seite nach Schwachstellen?

Was ist eine WordPress-Schwachstelle?

Eine WordPress-Schwachstelle ist eine Software-Schwachstelle in WordPress, die bekannt oder unbekannt sein kann.

WPScan, ein kostenloser Open-Source-WordPress-Schwachstellenscanner, auf den wir später in diesem Artikel näher eingehen werden, hat fast 40.000 WordPress-Schwachstellen in seiner Datenbank. Sie bieten auch einige interessante Statistiken:

WPScan hat 4.069 Premium-Plugins gefunden, die irgendeine Art von Schwachstelle aufweisen. Diese Zahl steigt für kostenlose Plugins auf 98.241. Das bedeutet nicht, dass kostenlose Plugins schlecht sind – Premium-Plugins stehen mehr Ressourcen zur Verfügung, um Plugins zu testen und zu überprüfen, bevor sie veröffentlicht werden – weshalb sie wenig überraschend Geld kosten. Wenn Sie für ein Plugin bezahlen, erhalten Sie im Allgemeinen zusätzliche Sicherheit und Schutz (abgesehen von der zusätzlichen Funktionalität).

Plugin-Schwachstellen machen mit 92 % den größten Prozentsatz der Schwachstellen aus, wobei Theme-Schwachstellen mit 5 % den zweiten Platz einnehmen und WordPress selbst mit 3 % den letzten Platz einnimmt.

Den Unterschied zwischen einem Schwachstellenscanner und einem Sicherheitsscanner verstehen

Ein WordPress-Schwachstellenscanner ist ein dediziertes Tool, das nach Schwachstellen suchen kann – Softwarefehler oder Fehlkonfigurationen, die eine Sicherheitslücke schaffen.

Sicherheitsscanner ist ein allgemeiner Begriff, der Schwachstellenscans umfassen kann, obwohl Sicherheitsscanner streng genommen dazu neigen, nach Fehlkonfigurationen, verpassten Updates, schwachen Passwörtern, Malware usw. zu suchen.

Diese Unterscheidung ist wichtig, da Sie wissen müssen, wonach Sie scannen und wonach nicht. Da es kein Gesetz gibt, das Anbietern vorschreibt, welche Begriffe zu verwenden oder nicht zu verwenden sind, sollten Sie sich die Zeit nehmen, die Dokumentation zu lesen, die mit dem von Ihnen ausgewählten Scanner geliefert wird. So stellen Sie sicher, dass Sie den erforderlichen Versicherungsschutz erhalten.

Den Unterschied zwischen Black-Box- und White-Box-Tests verstehen

Beim Schwachstellentest gibt es zwei Hauptansätze: Black-Box-Tests und White-Box-Tests. Beide Methoden haben ihre Vor- und Nachteile. Das Verständnis der Unterschiede zwischen ihnen ist von entscheidender Bedeutung, da Sie so verstehen können, was von einem bestimmten Schwachstellen-Scanner abgedeckt wird und was nicht.

Black-Box-Tests

WordPress-Blackbox-Schwachstellentests sind eine Technik, bei der die Person, die den Test durchführt, keine Kenntnis der internen Funktionsweise von WordPress voraussetzt. Während des Testens hat der Tester nur Zugriff auf die Ein- und Ausgänge und kümmert sich nicht darum, wie die Ausgänge erzeugt werden. Mit anderen Worten, der Tester behandelt WordPress als „Black Box“ und testet es von außen.

Ein Vorteil des Black-Box-Testens ist, dass es von Testern durchgeführt werden kann, die keine Kenntnisse über Programmierung oder die interne Architektur der Software haben. Dies macht Black-Box-Tests für ein breiteres Spektrum von Testern zugänglich.

Der Hauptnachteil von Black-Box-Tests besteht darin, dass bestimmte Arten von Schwachstellen, die mit der internen Funktionsweise von WordPress zusammenhängen, möglicherweise nicht aufgedeckt werden können.

White-Box-Tests

WordPress White Box Testing ist eine Testtechnik, bei der die Person, die den Test durchführt, Zugriff auf die Architektur, den Code und das Design von WordPress hat. Diese Art des Testens wird auch als Clear-Box-Test oder Strukturtest bezeichnet.

Ein Vorteil des White-Box-Testens besteht darin, dass der Tester Fehler aufdecken kann, die mit WordPress zusammenhängen. Es kann auch verwendet werden, um die Wartbarkeit und Skalierbarkeit der Software zu testen – etwas, wovon WordPress-Entwickler und Plugin-Entwickler viel profitieren können.

Der Hauptnachteil von White-Box-Tests besteht darin, dass die Tester Kenntnisse über die Programmierung und die interne Architektur der Software benötigen.

Häufige WordPress-Schwachstellen

Während WordPress-Schwachstellen in allen Formen und Größen auftreten können, sollten einige der häufigsten erwähnt werden – die, wie wir sehen werden, leicht zu verhindern sind. Andere können nur von Entwicklern gelöst werden, die Zugriff auf den Code haben, wie im letzten Beispiel unten gezeigt:

Veralteter WordPress-Core

Eine der häufigsten Sicherheitslücken in WordPress ist ein veralteter WordPress-Kern. Updates für WordPress werden regelmäßig veröffentlicht, um Sicherheitsprobleme zu beheben, Fehler zu beheben und Leistung und Funktionalität zu verbessern. Hacker können bekannte Schwachstellen ausnutzen, wenn Sie nicht auf die neueste Version aktualisieren.

Was zu tun ist: Eine WordPress-Update-Richtlinie kann Ihnen dabei helfen, WordPress-Updates besser zu verwalten und sicherzustellen, dass Sie immer die neueste Version von WordPress verwenden.

Schwache Passwörter

Schwache Passwörter können eine weitere große WordPress-Sicherheitslücke sein. Viele Benutzer neigen dazu, schwache Passwörter zu verwenden, die leicht zu erraten oder zu knacken sind, da sie sich eher an sie erinnern. Dies kann Hackern den unbefugten Zugriff auf Websites erleichtern.

Was zu tun ist: Verwenden Sie eine WordPress-Passwortrichtlinie, um sicherzustellen, dass Benutzer starke Passwörter verwenden, und ermutigen Sie die Verwendung eines Passwortmanagers.

Anfällige Plugins und Themes

WordPress-Themes und -Plugins können die Funktionalität und das Erscheinungsbild von WordPress ernsthaft verbessern. Einige dieser Plugins und Themes können jedoch Schwachstellen enthalten, die von Hackern ausgenutzt werden können.

Was zu tun ist: Verwenden Sie Plugins und Themes von vertrauenswürdigen Anbietern, die regelmäßig Updates veröffentlichen – und halten Sie alles jederzeit auf dem neuesten Stand.

Brute-Force-Angriffe

Brute-Force-Angriffe sind eine Angriffsart, bei der böswillige Akteure versuchen, die Anmeldeinformationen eines Benutzers zu erraten, indem sie verschiedene Kombinationen aus Benutzername und Passwort ausprobieren.

Was zu tun ist: Fügen Sie WordPress 2FA hinzu, um Brute-Force-Angriffe sofort zu stoppen und die Anzahl der fehlgeschlagenen Anmeldeversuche zu begrenzen.

SQL-Injektion

Während der SQL-Injection schleusen Hacker bösartigen Code über Benutzereingabefelder wie Suchleisteneinträge, Formulare und Kommentare in die Datenbank einer Website ein. Dies kann dazu führen, dass sensible Daten wie Benutzernamen, Passwörter und Kreditkartendaten preisgegeben werden.

Was zu tun ist: Seriöse Plugin-Entwickler beseitigen dies während der Entwicklung. Wenn Sie diese Schwachstelle finden, sollten Sie die verursachende Komponente nach Möglichkeit deaktivieren – bis ein Fix verfügbar ist.

Warum Sie nach Schwachstellen scannen sollten

Wie die Statistiken, die wir am Anfang des Artikels geteilt haben, zeigen, können Schwachstellen in jeder Software vorhanden sein. Wenn Sie eine strenge WordPress-Update-Richtlinie haben und sich auf Themes und Plugins von seriösen Entwicklern beschränken, sind Sie wahrscheinlich auf der sicheren Seite – dies ist jedoch keine Garantie. Zu diesem Zweck können Sie einen Schwachstellenscan durchführen.

Ein Schwachstellenscan kann Ihnen helfen, Probleme aufzudecken, die Sie möglicherweise übersehen haben, und Schwachstellen, die möglicherweise in einem Update oder einer Konfigurationsänderung eingeführt wurden.

Die besten WordPress-Schwachstellen-Scanner

In diesem Abschnitt werden wir uns einige der besten WordPress-Schwachstellenscanner ansehen, die heute auf dem Markt erhältlich sind.

WPScan

WPScan ist ein kostenloser Sicherheitsscanner, der speziell für WordPress entwickelt wurde. Es sucht nach Schwachstellen, mit fast 40.000 Schwachstellen in seiner Datenbank. Der Schwachstellendatenbank werden sehr regelmäßig neue Einträge hinzugefügt.

WPScan ist als CLI-Tool (Command Line Interface) verfügbar. Dies bedeutet, dass es keine GUI gibt und von einem Terminal aus ausgeführt werden muss. WPScan war früher als kostenloses Plugin verfügbar, dies ist jedoch nicht mehr der Fall. Sie können auch JetPack verwenden, das die WPScan-API nutzt.

WPScan scannt unter anderem nach:

      • Sicherheitslücken im Zusammenhang mit WordPress-Core, Plugins und Themes
      • Benutzername und Mediendateiaufzählung
      • Schwache Passwörter (durch Brute-Force-Angriffe)
      • Zugängliche wp-config-Dateien
      • Datenbank-Dumps
      • Offengelegte Fehlerprotokolle

WPSec

WPSec ist ein WordPress-Schwachstellen-Scanner. Es wird über ein Dashboard verwaltet, von dem aus Sie Scans ausführen, Benachrichtigungen einrichten und erweiterte Berichte erstellen können. Beim Scannen verwendet WPSec die so genannte Advanced Scan Technology, die WPScanner und proprietäre benutzerdefinierte Technologie verwendet.
WPSec scannt unter anderem nach:

      • Bekannte WordPress-Fehler
      • Sicherheitsprobleme

Sucuri

Sucuri ist bekannt für seine WAF (Web Application Firewall) und bietet auch eine Reihe verschiedener Scanner an, die nach verschiedenen Dingen suchen und einen breiteren Anwendungsbereich bieten, der nicht unbedingt so tief ist wie das, was andere Scanner bieten.
Sucuri scannt unter anderem nach:

      • Malware
      • IOC (Kompromissindikatoren)
      • Phishing-Seiten
      • DDoS-Skripte
      • SSL-Zertifikate

Acunetix

Acunetix ist eine Lösung zum Testen der Sicherheit von Webanwendungen, die auch als WordPress-Sicherheitsscanner verwendet werden kann. Da es nicht WordPress-spezifisch ist, kann es auf verschiedenen Websites, Anwendungen und APIs verwendet werden. Es kann sowohl SAST (Static Application Security Testing) als auch DAST (Dynamic Application Security Testing) durchführen.
Acuntiex scannt unter anderem nach:

      • Veraltete WordPress-Kerne und -Plugins
      • Malware
      • Schwache Passwörter
      • Anfällige WordPress-Benutzernamen
      • XML-RPC-Schwachstellen

Sichern Sie Ihr WordPress

Ein WordPress-Sicherheitsscanner kann Ihnen dabei helfen, Sicherheitsbedrohungen für Ihre WordPress-Website zu identifizieren. Es bleibt jedoch wichtig, proaktive Sicherheitsmaßnahmen zu ergreifen. Während Sie sich immer noch mit den Ergebnissen eines WordPress-Sicherheitsscans befassen sollten, sollten WordPress-Administratoren und Websitebesitzer auch verstehen, dass die WordPress-Sicherheit ein iterativer Prozess ist, der einen enormen ROI bietet.

Alles auf dem neuesten Stand zu halten, ist eine der zugänglichsten Möglichkeiten, die Administratoren zur Verfügung stehen, um Schwachstellen einzuschränken. WordPress, Themes, Plugins und PHP sollten immer auf dem neuesten Stand sein. Vergessen Sie nicht, Backups zu erstellen und eine WordPress-Staging-Umgebung zu verwenden, um das Risiko zu begrenzen.

WordPress-Sicherheits-Plugins können auch Schutz und Seelenfrieden bieten. Firewalls sind immer eine gute Option; Ein WordPress-Aktivitätsprotokoll kann Ihnen jedoch dabei helfen, mehr zu erreichen. Ebenso kann die Sicherung Ihrer WordPress-Installation mit 2FA Ihnen helfen, mit minimalem Aufwand noch sicherer zu bleiben.

Häufig gestellte Fragen

Welches Tool kann ich verwenden, um nach WordPress-Schwachstellen zu suchen?

Ein WordPress-Schwachstellenscanner ist eines der besten Tools, mit denen Sie nach Schwachstellen suchen können. Wir haben in diesem Artikel eine Reihe verschiedener Scanner behandelt. Eine wichtige Sache, die zu beachten ist, ist, dass verschiedene Scanner nach unterschiedlichen Dingen scannen können. Lesen Sie unbedingt die Dokumentation, um zu verstehen, wonach Sie suchen und was nicht. Dies hilft Ihnen, ein falsches Gefühl der Website-Sicherheit zu vermeiden.

Wie scanne ich meine WordPress-Seite nach Schwachstellen?

Dies hängt von dem von Ihnen gewählten Schwachstellen-Scanner ab. Einige Scanner bieten automatische Scans an und senden Ihnen sogar einen Ergebnisbericht direkt an Ihren E-Mail-Posteingang. Andere erfordern möglicherweise einen manuellen Scan, in einigen Fällen über eine CLI – Befehlszeilenschnittstelle.