Verstehen der RCE-Schwachstellen in WordPress-Plugins
- Stellen Sie sich vor, Sie geben die Kontrolle über Ihre Website an jemanden ab, dem Sie nicht vertrauen - das ist das Risiko von RCE-Schwachstellen in WordPress.
- Angreifer können den Inhalt von Websites verändern, Spam-Inhalte einschleusen und Malware verbreiten und so die Besucher der Website infizieren.
- Um Fehler zu vermeiden, müssen Sie vor dem Upgrade unbedingt sicherstellen, dass alle Ihre Plugins und Themes mit der neuen PHP-Version kompatibel sind.
WordPress ist ein beliebtes Content-Management-System (CMS), das über 40 % des Internets versorgt. Es ist bekannt für seine Flexibilität und sein umfangreiches Plugin-Ökosystem. Allerdings können diese Plugins zwar zusätzliche Funktionen bieten, aber auch Sicherheitsschwachstellen verursachen. Diese Schwachstellen können sich aufgrund von Codierungsfehlern, veralteten Bibliotheken oder mangelnder Wartung einschleichen. Das Verständnis der WordPress-Plugin-Schwachstellen, der damit verbundenen Risiken und der Herausforderungen bei der Aktualisierung von Plugins ist entscheidend für die Aufrechterhaltung einer sicheren WordPress-Website.
In diesem Artikel werden wir uns mit Sicherheitslücken in WordPress-Plugins befassen, die es Angreifern ermöglichen, aus der Ferne bösartigen Code auf Ihrer Website einzuschleusen und auszuführen.
Sicherheitsrisiken durch RCE-Schwachstellen in WordPress
Vollständige Übernahme der Website: Entfernte Code-Ausführung ermöglicht es Angreifern, beliebige Befehle auf dem Server auszuführen und möglicherweise die vollständige Kontrolle über die Website zu übernehmen. Das heißt, sie können Inhalte ändern, Malware installieren, Besucher auf bösartige Websites umleiten oder sogar die Kontrolle über die Website verlieren.
Datendiebstahl: Angreifer können auf sensible Informationen, die auf Ihrer Website gespeichert sind, zugreifen und diese stehlen, z. B. Kundendaten, Anmeldedaten oder Finanzdaten.
Verunstaltung von Websites: Mit der Kontrolle über den Server können die Angreifer den Inhalt der Website verändern und ihre eigenen Nachrichten anzeigen.
SEO-Spam: Hacker speisen häufig Spam-Inhalte und Links in anfällige Websites ein und schädigen so das Suchmaschinen-Ranking und die Glaubwürdigkeit der Website.
Verbreitung von Malware: Kompromittierte Websites werden auch zur Verbreitung von Malware genutzt, um Besucher der Website zu infizieren.
Kritische RCE-Schwachstellen in beliebten WordPress-Plugins
Backup-Migration RCE-Fehler
Eine kritische Sicherheitslücke (CVE-2023-6553) wurde in einem beliebten WordPress-Backup-Plugin namens Backup Migration gefunden, das über 80.000 aktive Installationen hat. Durch Ausnutzung dieser Sicherheitslücke können Angreifer die vollständige Kontrolle über Websites übernehmen. Alle Versionen des Plugins bis 1.3.7 sind verwundbar. Es wurde ein Update (Version 1.3.8) veröffentlicht, das dieses Problem behebt. Den Nutzern von Backup Migration wird empfohlen, sofort auf die neueste Version zu aktualisieren.
Bricks Builder RCE-Fehler
Es gibt eine kritische Sicherheitslücke (CVE-2024-25600) in Bricks Builder, einem beliebten Plugin für die Seitenerstellung (ca. 25.000 aktive Installationen), die es Hackern ermöglicht, die vollständige Kontrolle über Websites zu übernehmen. Die Schwachstelle wurde im Februar 2024 entdeckt und kurz darauf wurde eine Korrektur (Version 1.9.6.1) veröffentlicht. Obwohl es noch keine bestätigten Angriffe gab, wird den Nutzern dringend empfohlen, sofort auf die neueste Version (1.9.6.1) zu aktualisieren, um zu verhindern, dass sie gehackt werden.
PHP Everywhere Sicherheitslücken in WordPress
PHP Everywhere ist ein beliebtes Plugin, mit dem Benutzer benutzerdefinierten PHP-Code in Seitenleisten, Seiten und Beiträge in WordPress-Websites einfügen können. Das Plugin wird auf über 20.000 Websites verwendet und wurde mit folgenden Schwachstellen entdeckt drei Schwachstellen für die Remotecodeausführung die Angreifer ausnutzen können.
Die schwerwiegendste Sicherheitslücke (CVE-2022-24663) ermöglicht es jedem, der sich auf einer Website registrieren kann (Abonnenten), bösartigen Code einzuschleusen und möglicherweise die gesamte Website zu übernehmen.
Die beiden anderen Sicherheitslücken (CVE-2022-24664 und CVE-2022-24665) erfordern mehr Zugriff (Mitwirkungsebene), können aber dennoch gefährlich sein.
Diese Schwachstellen wurden in der im Januar 2022 veröffentlichten Version 3.0.0 des Plugins behoben. Viele Benutzer haben jedoch noch nicht aktualisiert und sind weiterhin gefährdet. Wenn Sie PHP Everywhere verwenden, aktualisieren Sie sofort auf Version 3.0.0. Außerdem wurde mit Version 3.0.0 die Unterstützung für den klassischen Editor entfernt. Wenn Ihre Website also den klassischen Editor verwendet, müssen Sie eine alternative Lösung finden.
Aber ein großer Grund zur Sorge ist, dass dieses Plugin nun dauerhaft aus WordPress entfernt wurde, nachdem der Autor dies beantragt hatte. Die WordPress-Websites, auf denen dieses Plugin installiert ist, können das Plugin jedoch weiterhin verwenden. Es ist jedoch besser, wenn Sie ein anderes, ähnliches Plugin finden, da keine weiteren Aktualisierungen, einschließlich Sicherheitsbehebungen, verfügbar sein werden.
Entschärfung von RCE-Schwachstellen in WordPress
Regelmäßige Updates: Aktualisieren Sie immer alle Plugins, Themes und den WordPress-Kern auf die neuesten Versionen, um bekannte Sicherheitslücken zu schließen.
Sichere Dateiuploads: Verwenden Sie sichere Methoden für Datei-Uploads, einschließlich der Überprüfung von Dateitypen und der Verwendung spezieller Verzeichnisse mit eingeschränkten Berechtigungen.
Web Application Firewalls (WAF): Verwenden Sie eine WAF, um bösartige Anfragen zu filtern und zu blockieren, bevor sie die WordPress-Anwendung erreichen.
Sicherheits-Plugins: Implementieren Sie Sicherheits-Plugins, die Funktionen wie Malware-Scanning, Firewall-Schutz und Echtzeitüberwachung bieten. Dienste wie Wordfence, Sucuri oder Jetpack können bei der Überwachung und dem Schutz Ihrer Website helfen.
Prinzip der geringsten Privilegien: Umsetzung des Prinzips der geringsten Privilegien, um sicherzustellen, dass die Benutzer nur über die erforderlichen Mindestberechtigungen verfügen, um zu funktionieren, und um den potenziellen Schaden eines Angriffs zu begrenzen.
Außerdem können Sie die folgenden bewährten Sicherheitspraktiken befolgen:
Begrenzen Sie die Verwendung von Plugins: Minimieren Sie die Anzahl der Plugins, um mögliche Angriffsvektoren zu reduzieren. Deaktivieren und löschen Sie alle Plugins, die nicht aktiv genutzt werden.
Regelmäßig sichern: Führen Sie regelmäßig Backups Ihrer Website durch, um die Funktionalität im Falle eines erfolgreichen Angriffs schnell wiederherzustellen.
Probleme und Herausforderungen bei der Aufrüstung
Während Plugin-Updates Schwachstellen in WordPress-Websites beheben, können sie manchmal Kompatibilitätsprobleme mit anderen Plugins, Themes oder sogar dem WordPress-Kern verursachen, was zu Fehlfunktionen oder Abstürzen der Website führt. Ein weiterer Grund kann sein, dass das Plugin die Unterstützung für die auf Ihrem Server verwendete PHP-Version einstellt. Mit der Weiterentwicklung von PHP kommen neuere Versionen mit Verbesserungen, und ältere Versionen werden nicht mehr gewartet. Um mit den neuesten PHP-Versionen Schritt zu halten, veröffentlichen Plugins, Themes und WordPress selbst ständig Updates und stellen nach und nach die Unterstützung für veraltete PHP-Versionen ein.
Zum Beispiel wird PHP 7.4 nicht mehr unterstützt vom PHP-Entwicklungsteam nach dem 28. November 2022 nicht mehr unterstützt. Jede WordPress-Website, die auf einem Server mit PHP 7.4 läuft, ist aufgrund der fehlenden Sicherheitsupdates sehr anfällig. Obwohl WordPress PHP 7.4 noch unterstützt, zeigt es die Meldung "PHP-Update erforderlich"an und empfiehlt den Benutzern, PHP in WordPress zu aktualisieren, um die Sicherheit der Website zu gewährleisten. Die derzeit unterstützten PHP-Versionen sind PHP 8.1, 8.2 und 8.3, und WordPress hat bereits Beta-Unterstützung für alle diese Versionen integriert.
Wenn Sie jedoch Ihre WordPress-PHP-Version auf 8.x aktualisieren und Ihre Plugins und Themes PHP 8.x nicht unterstützen, können Kompatibilitätsprobleme auftreten, die zu Fehlfunktionen oder Abstürzen der Website führen können. Diese Probleme können sich in Form von Fehlermeldungen, fehlerhaften Funktionen oder sogar einer komplett unzugänglichen Website äußern.
Um solche Probleme zu vermeiden, müssen Sie unbedingt sicherstellen, dass alle Ihre Plugins und Themes mit PHP 8.x kompatibel sind, bevor Sie ein Upgrade durchführen. Dies können Sie tun, indem Sie bei den Entwicklern nach Updates suchen oder die neue PHP-Version zunächst in einer Staging-Umgebung testen. Manche Plugin-Entwickler geben ihre Projekte auf, so dass sie anfällig sind und keine zukünftigen Updates mehr erhalten.
Absicherung von veraltetem PHP in WordPress
Für den Fall, dass Ihre Themes und Plugins keine PHP 8.x Versionen unterstützen, können Sie den TuxCare's Extended Lifecycle Support (ELS) für PHP nutzen, um die Sicherheit Ihrer Website zu gewährleisten. ELS for PHP bietet Sicherheitspatches für ältere PHP-Versionen, die nicht mehr offiziell unterstützt werden. So können Sie Ihr bestehendes PHP in WordPress sicher weiter nutzen und haben gleichzeitig genügend Zeit, den Code für die Kompatibilität mit PHP 8.x zu aktualisieren.
Abschließende Überlegungen
Theme- und Plugin-Schwachstellen in WordPress können von Angreifern ausgenutzt werden, um unbefugten Zugriff auf Ihre Website zu erhalten, Daten zu stehlen oder bösartigen Code einzuschleusen. Für die Sicherheit ist es wichtig, sie auf dem neuesten Stand zu halten, aber es geht nicht immer glatt. Updates können Fehler einführen, die die Funktionalität Ihrer Website beeinträchtigen und eine Fehlersuche und Kompatibilitätsprüfung erforderlich machen.
Ein Upgrade von einer älteren PHP-Version auf PHP 8.x erfordert oft eine umfangreiche Umschreibung des Codes. Das kann ein komplexer und zeitaufwändiger Prozess sein. Der erweiterte PHP-Lebenszyklus-Support (ELS) von TuxCare ermöglicht es Ihnen, länger auf älteren PHP-Versionen zu bleiben und Ihren bestehenden PHP-Code und Ihre Funktionalität beizubehalten, ohne sich um Sicherheitsrisiken sorgen zu müssen.
Senden Sie Fragen an einen TuxCare-Sicherheitsexperten um zu erfahren, wie Sie mit TuxCare's PHP ELS loslegen können.