2018-04-12 4 Minuten

Hacking Recon: WordPress-Seiten

Wie einfach es ist, eine Wordpress-Seite auf Lücken zu scannen.

Eines der Dinge, die mich (neben der endlosen Kreativität der Cyber-Kriminellen) an der IT-Security Branche am meisten schockiert haben, ist die Usability der Hacking-Tools.

Und eines davon zeige ich euch heute.

Aber zuerst:

WordPress

Jeder kennt es, es läuft auf 60% aller Webseiten. Und es ist eigentlich sehr sicher.

Eigentlich.

Wenn es nicht diese riesige Anzahl an Themes und Plugins gäbe. Und wenn wir die Seiten auch updaten würden.

Ich sehe es selbst täglich:

  • Der Blog, auf dem 4 verschiedene Slider-Plugins installiert sind, aber nur eines verwendet.
  • Die Seite, bei der man beim ersten Einstieg mit “17 Plugins need an update” erschlagen wird.
  • Die “wer sollte denn uns bitte hacken!?”-Fraktion

Fun Fact: erinnerst du dich noch an die Panama Papers? An die Firma, die gehackt wurde – Mossack Fonseca? Dreimal darfst du raten, wie die gehackt wurden.

Richtig.

Ein unsicheres WordPress-Plugin. Und zwar ein Slider, wie er auf so vielen Startseiten zu finden ist.

Aufklärung

Bevor ein Hacker versucht, tatsächlich ins Netzwerk einzudringen, versucht er vorher, ein möglichst genaues Bild von den Rechnern zu erhalten, die zum jeweiligen Ziel gehören.

Hier kommen Techniken wie Port Scanning, oder auch einfach nur die Suchmaschine Shodan zum Einsatz.

Und natürlich gibt es da auch ein spezielles Tool für WordPress, das uns hilft, genau dieses genaue Bild zu erhalten.

Weil händisch wäre das ja totaaal viel Aufwand.

WPScan

wpscan ist im Prinzip wie ein Kind, das auf eine mathematische Frage – anstatt wirklich zu rechnen – einfach alle Zahlen durchprobiert.

– “Ist das Ergebnis 4?”

– “Nein”

– “5?”

– “Nein”

Das Ganze nur mit bekannten WordPress Themes und Plugins. Im Hintergrund sind einfach die meisten bekannten Themes und Plugins hinterlegt – inklusive einem Weg, wie man diese erkennt.

Und dann wird jedes Einzelne durchprobiert.

– “Ist das Plugin Instagram-Slider installiert?”

– “Nein”

– “Und was ist mit Supercool Slider?”

– “Nein”

Das Ergebnis ist quasi ein Cheatsheet für die gesamte Webseite:

  • Welche Version von WordPress ist installiert?
  • Welche Themes? Welche Versionen der Themes?
  • Welche Plugins? Welche Versionen?
  • Ist irgend ein Ordner zugänglich, der es nicht sein sollte?
  • Was sind die Usernamen?

Beispiel: Ich scanne meine eigene Webseite

Den einzigen Befehl, den ich brauche ist:

wpscan -u martinhaunschmid.com

Das wars?

Das wars.

Und das ist das Ergebnis (gekürzt):

wpscan hat sowohl allgemeine Infos zu meinem Blog herausgefunden:

[33m[!][0m The WordPress ‚https://martinhaunschmid.com/readme.html‘ file exists exposing a version number
[32m[+][0m Interesting header: SERVER: Apache
[32m[+][0m This site has ‚Must Use Plugins‘ (http://codex.wordpress.org/Must_Use_Plugins)
[32m[+][0m WordPress version 4.9.5 (Released on 2018-04-03) identified from advanced fingerprinting, links opml

Als auch alle Plugins, die auf der Seite laufen:

[32m[+][0m Name: autodescription – v3.0.5
| Latest version: 3.0.5 (up to date)
| Location: https://martinhaunschmid.com/wp-content/plugins/autodescription/
| Readme: https://martinhaunschmid.com/wp-content/plugins/autodescription/readme.txt

Pro Tip: deswegen verwende ich auf allen meinen Seiten so wenige Plugins wie nur irgendwie möglich:

Meine Usernames hat wpscan mir auch in einer übersichtlichen Tabelle (die WordPress natürlich zerstört) aufbereitet:

[32m[+][0m Enumerating usernames …
[32m[+][0m Identified the following 1 user/s:
+—-+———-+——————————–+
| Id | Login    | Name                           |
+—-+———-+——————————–+
| 2  | xxxxxxxx | Technologie und Kommunikation. |
+—-+———-+——————————–+

Aus diesen Daten kann man schon einiges rausfinden:

  • Die WordPress-Version ist 4.9.5 (die zum Zeitpunkt dieses Artikels aktuellste)
  • Jegliche Plugins, die ich eventuell angreifen könnte
  • Plugins, die nicht auf der Seite aktiv sind, und deswegen vermutlich ewig nicht mehr aktualisiert wurden
  • Usernamen, die ich hacken kann

Wir sind noch nicht fertig

Diese Infos müsste ich jetzt in mühsamer Handarbeit mit bekannten Sicherheitslücken abgleichen… oder?

Nicht wirklich.

Es gibt eine Datenbank dafür.

Und wpscan fragt diese automatisch ab.

Und zeigt mir im Ergebnis direkt, welche Sicherheitslücken auf der Seite existent sind.

Das ist Usability ????

Zu meinem Blog wurden keine Sicherheitslücken angezeigt (ich mache ja brav meine Updates), aber so sieht das dann zum Beispiel aus, wenn eine Lücke gefunden wird:

[!] Title: WooCommerce <= 3.2.3 – Authenticated PHP Object Injection
Reference: https://wpvulndb.com/vulnerabilities/9028
Reference: https://woocommerce.wordpress.com/2017/11/16/woocommerce-3-2-4-security-fix-release-notes/
Reference: https://blog.ripstech.com/2018/woocommerce-php-object-injection/
[i] Fixed in: 3.2.4

Diese Lücke ist jetzt anscheinend nicht so arg (laut Beschreibung), aber alleine dass mir wpscan sogar direkt die Links ausgibt, ist ein Wahnsinn.

Sollst du jetzt Angst haben?

Ja.

Vor Allem, wenn auf deiner Seite mit Kundendaten gearbeitet wird. Die DSGVO kommt, und mit ihr die Pflicht, Hacks und Leaks zu melden.

Um eines klar zu stellen: Ein Hack kann nie 100% vermieden werden. Aber was du vermeiden kannst ist eine Strafe der Datenschutzbehörde, weil du deine Updates fahrlässigerweise seit einem Jahr nicht mehr gemacht hast.

Eine Webseite braucht einfach laufende Wartung.

Von Hackern, Wordpress, SEO & Co

  • Wo kommt mein Spam her?
  • Wie leicht ist es, eine Wordpress Seite zu hacken?
  • Wie Umzugsfirmen ihre Gaunereien mit SEO umsetzen

...wöchentlich in deiner Inbox! 🚀

4 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.