Datenbank-Zugangsdaten von WordPress Ziel eines Angriffs im Mai 2020
Wie Wordfence, der amerikanische Anbieter von Sicherheitslösungen für WordPress in einem Blog-Beitrag vom 03. Juni 2020 berichtet, konnten in der Zeit vom 29. bis 31. Mai 2020 Angriff auf Datenbank-Zugangsdaten von WordPress Websites durch die Wordfence Firewall blockiert und abgewehrt werden. Das Interesse bzw. Ziel des Angriffs war es, Anmeldedaten von 1,3 Millionen WordPress Datenbanken zu stehlen. Die Angreifer versuchten bekannte Schwachstellen von WordPress Plugins und Themes auszunutzen, um die Konfigurationsdateien der angegriffenen Websites herunterzuladen.
WordPress Plugin- und Themes-Schwachstellen als Angriffsziel
Laut Wordfence erreichte die Angriffswelle am 30. Mai ihren Höhepunkt. An diesem Tag erfolgten rund 75 % der insgesamt 130 Millionen Angriffe. Die Hintermänner des Angriffs sind keine Unbekannten. Zumindest ist bekannt, von wo die Angriffe gestartet wurde.
Wordfence entdeckte Aktivitäten bereits im Februar
Wordfence beobachtet die Aktivitäten dieser Gruppe bereits seit Februar diesen Jahres und konnte sie mit einem ebenfalls umfangreichen Angriff auf XSS-Schwachstellen in Verbindung bringen. Möglich war dies, da die Akteure für beide Angriffe die gleichen IPs benutzt haben. Rund 20.000 verschiedene IPs, von denen die Angriffe ausgegangen sind, konnte Wordfence registrieren.
Eine weitere Gemeinsamkeit beider Angriffe war, dass die Angreifer gezielt versucht haben, Sicherheitslücken in veralteten WordPress Themes und Plugins zu nutzen, die den Export oder das Herunterladen der wp-config-Datei ermöglichen. Die wp-config Datei ist ein zentraler und kritischer Teil aller WordPress Installationen. Sie enthält neben verschiedenen Authentifizierungsschlüssel auch die Anmeldedaten für die Datenbank. Angreifer, die Zugriff auf diese Datei erlangen, können sich problemlos Zugang zu Datenbanken verschaffen, in denen Nutzerdaten und Website-Inhalte gespeichert sind. Jeder Angreifer kann dann sensible Daten auslesen, einen weiteren Administrator hinzufügen oder die Site sogar ganz löschen. In jedem Fall wäre der angerichtete Schaden beträchtlich und mitunter existenzbedrohend.
Wie können Sie Ihre WordPress Seite schützen?
Die Wordfence Angabe zur Zahl der angegriffenen Websites beinhaltet nur die von einer Wordfence Firewall geschützten Websites. Die Dunkelziffer der vom Großangriff auf Datenbank-Zugangsdaten betroffenen Sites ist wahrscheinlich noch weitaus höher. Wenn Sie glauben oder befürchten, dass Ihre Website kompromittiert wurde, sollten Sie zunächst das Datenbank-Passwort und die eindeutigen Authentifizierungsschlüssel ändern.
Wenn Sie Fragen zum Schutz Ihrer WordPress Website haben oder sich ausführlich über die Möglichkeiten, wie Sie Ihre Website vor Angriffen und Datendiebstahl schützen können, beraten lassen wollen, zögern Sie bitte nicht uns anzurufen oder eine E-Mail zu schicken. Wir beraten Sie gerne und helfen Ihnen dabei, Ihre WordPress Site zu schützen.
Der von Wordfence geschilderte Angriff auf veraltete Plugins und Themes von WordPress Website zeigt, wie wichtig es ist, die Website regelmäßig zu pflegen und, sobald verfügbar, Updates für Themes und Plugins zu Installation. Tools wie die Wordfence oder Ninja Firewall für WordPress sind ebenfalls eine sinnvolle Maßnahme, um die eigene Website und sensible Daten von Kunden und Mitarbeitern zu schützen.
Beitrag von Wordfence: Large Scale Attack Campaign Targets Database Credentials.