{"id":253369,"date":"2022-12-27T15:25:00","date_gmt":"2022-12-27T12:25:00","guid":{"rendered":"https:\/\/inform.click\/so-ueberpruefen-sie-ob-ihr-wordpress-system-gegen-xss-angriffe-gesichert-ist\/"},"modified":"2022-12-27T15:29:00","modified_gmt":"2022-12-27T12:29:00","slug":"so-ueberpruefen-sie-ob-ihr-wordpress-system-gegen-xss-angriffe-gesichert-ist","status":"publish","type":"post","link":"https:\/\/inform.click\/de\/so-ueberpruefen-sie-ob-ihr-wordpress-system-gegen-xss-angriffe-gesichert-ist\/","title":{"rendered":"So \u00fcberpr\u00fcfen Sie, ob Ihr WordPress-System gegen XSS-Angriffe gesichert ist"},"content":{"rendered":"

\n Weltweit sind fast 48 Prozent aller Websites anf\u00e4llig f\u00fcr Cross-Site-Scripting (XSS). Weltweit nutzen ziemlich genau 25 Prozent aller Websites die WordPress-Plattform.\n<\/p>\n

\n Daraus folgt, dass im Venn-Diagramm von Websites, die f\u00fcr XSS anf\u00e4llig sind, und Websites, auf denen die WordPress-Plattform ausgef\u00fchrt wird, die \u00dcberschneidung ziemlich gro\u00df sein muss.\n<\/p>\n

\n Dies ist kein Klopfen an der Plattform selbst. Das WordPress-Team hat Sicherheit zu einem festen Bestandteil seines Leitbilds gemacht und patcht aggressiv Schwachstellen, sobald sie bekannt werden. Dies h\u00e4lt die Leute jedoch nicht davon ab, unsichere Themen zu programmieren oder unsichere Plugins zu installieren. Diese Probleme sind die beiden Haupteinfallstore f\u00fcr XSS-Angriffe auf WordPress-Sites, und dieser Artikel wird erl\u00e4utern, wie man sie stoppen kann.\n<\/p>\n

\n Einf\u00fchrung in Cross-Site-Scripting
\n<\/h4>\n

\n Lassen Sie uns zun\u00e4chst besprechen, wie XSS-Angriffe ausgef\u00fchrt werden. Es gibt mehr als eine Art von XSS-Angriffen, daher werde ich mit einer vereinfachten Definition beginnen. Im Allgemeinen beginnen XSS-Angriffe mit unsauberen Eingaben \u2013 Kommentarformularen, Kommentarfeldern, Suchleisten usw. Diese Angriffe sind sehr unterschiedlich ausgefeilt. Tats\u00e4chlich sehen WordPress-Benutzer jeden Tag die einfachste Form von XSS-Angriffen: den Spam-Kommentar. Sie wissen, wovon ich spreche: \u201eDanke f\u00fcr den ausgezeichneten Artikel. \u00dcbrigens, hier ist meine Seite, auf der ich von zu Hause aus 5.000 Dollar pro Woche verdiene: www.only-an-idiot-would-click-this-link.co.uk.“\n<\/p>\n

\n Spam-Kommentare sind in gewisser Weise das perfekte Beispiel f\u00fcr einen XSS-Angriff. Eine b\u00f6swillige Entit\u00e4t untergr\u00e4bt die Infrastruktur Ihrer Website (das Kommentarfeld), um ihren Inhalt (den b\u00f6swilligen Link) auf Ihrer Website zu platzieren. Obwohl dies ein gutes anschauliches Beispiel ist, wird ein realistischerer XSS-Angriff viel subtiler sein. Die Erstellung eines Spam-Kommentars dauert ungef\u00e4hr f\u00fcnf Sekunden. Ein XSS-Angriff ist etwas, wof\u00fcr ein richtiger Hacker etwas mehr Zeit aufwenden wird.\n<\/p>\n

\n Ein echter schwarzer Hut wird versuchen, alle Aspekte Ihrer Website zu nutzen, die Daten an den Server senden, und sie im Wesentlichen als Miniatur-Texteditor verwenden. Wenn Ihre Eingaben nicht gesch\u00fctzt sind, bedeutet dies, dass sie ihren Code buchst\u00e4blich nehmen und Ihre Anwendung zwingen k\u00f6nnen, ihn auszuf\u00fchren und im Browser eines Benutzers zu rendern (und dazu kann Ihr Browser geh\u00f6ren). Im Gegensatz zu Spam-Kommentaren kann nur eine detaillierte Untersuchung des ge\u00e4nderten Codes Ihrer Website oder das Durchsuchen von Website-Interaktionen einen Versto\u00df aufdecken. Wie man sich vorstellen kann, gibt es unendlich viele unappetitliche Dinge, die aus einem solchen Versto\u00df resultieren k\u00f6nnten.\n<\/p>\n

\n Einfacher Vandalismus ist eine relativ h\u00e4ufige Folge von XSS-Angriffen, was dazu f\u00fchrt, dass Ihren Benutzern anstelle Ihrer Inhalte groteske Bilder oder politische Propaganda gezeigt werden. Vermarkter mit wenigen langfristigen Pl\u00e4nen oder ethischen Bedenken werden sie verwenden, um gegen ihren Willen bei Menschen zu werben. Ein nuancierterer und subtilerer Angriff k\u00f6nnte die Anmeldeinformationen Ihrer Benutzer stehlen. Wenn einer von ihnen \u00fcber Administratorrechte verf\u00fcgt, stehen m\u00f6glicherweise alle pers\u00f6nlichen Informationen, die Sie auf Ihrer Website speichern, zur Verf\u00fcgung. Alternativ k\u00f6nnten sie den anf\u00e4nglichen XSS-Angriff als Hebel nutzen, um Ihre Website aufzubrechen und noch fortschrittlichere Malware zu installieren.\n<\/p>\n

\n Angriffe stoppen
\n<\/h4>\n

\n Wenn Sie eine einigerma\u00dfen versierte Person mit Code sind und der alleinige Eigent\u00fcmer einer relativ kleinen WordPress-Site sind, dann sind sichere Codierungspraktiken wahrscheinlich der beste Weg, um Ihre Site vor Cross-Site-Scripting-Angriffen zu sch\u00fctzen. Ich f\u00fcge diesen Vorbehalt hinzu, da es Ihnen als Teil einer gr\u00f6\u00dferen Organisation, die eine komplexere Anwendung ausf\u00fchrt, m\u00f6glicherweise nicht m\u00f6glich ist, jeden Bereich zu finden, in dem ein b\u00f6swilliger Angreifer Code einschleusen k\u00f6nnte. Moderne Websites k\u00f6nnen sehr umfangreich sein, und es k\u00f6nnte sich f\u00fcr Sie lohnen, einen erfahrenen Fachmann einzustellen und Ihre Zeit anderen Besch\u00e4ftigungen zu widmen, um Ihre Website f\u00fcr Ihre Leser noch besser zu machen.\n<\/p>\n

\n Eine weitere Warnung lautet: Wenn Sie sich nicht besonders mit Code auskennen und jemand anderen Ihre Website f\u00fcr Sie erstellen lassen, gehen Sie nicht davon aus, dass er sichere Codierungspraktiken verwendet hat. Selbst die erfahrensten Entwickler sind daf\u00fcr bekannt, die Sicherheit auf der Strecke zu lassen oder kleinere Fehler zu machen, ohne dass jemand anderes ihre Arbeit \u00fcberpr\u00fcft. Andere Entwickler wissen m\u00f6glicherweise einfach nicht, was sie in Bezug auf die Sicherheit tun, und andere besch\u00f6nigen immer noch die Sicherheit, um zu sparen Zeit f\u00fcr sich selbst (trotz mangelnder Professionalit\u00e4t, was das angeht). Stellen Sie zusammenfassend sicher, dass Sie einen anerkannten Fachmann beauftragen, der bei der Entwicklung und dem Schutz Ihrer Website keine Abstriche macht.\n<\/p>\n

\n Angesichts dieser Bedenken ist eine der ersten und einfachsten Ma\u00dfnahmen, die Sie ergreifen k\u00f6nnen, um Cross-Site-Scripting zu verhindern, die Validierung von Benutzerdaten.\n<\/p>\n

\n Angenommen, Sie haben ein Anmeldeformular auf Ihrer Website, und dieses Formular fordert den Benutzer auf, seinen Namen einzugeben. Ein b\u00f6swilliger Benutzer k\u00f6nnte stattdessen Folgendes eingeben:\n<\/p>\n

\n<script>\n<![CDATA[\nCoughUpYourPreciousData();\n]]>\n<\/script><\/code><\/pre>\n
\n  Dies k\u00f6nnte beispielsweise dazu f\u00fchren, dass die n\u00e4chste Person, die diese Seite besucht, eine Kopie ihrer Cookies an einen Angreifer sendet.\n<\/p>\n
\n  Sie k\u00f6nnen sehen, dass in diesem Beispiel die obige Codezeichenfolge \u00fcberhaupt nicht wie der Name einer Person aussieht. Ihr Server wei\u00df das nicht, aber mit ein paar gesetzten Parametern k\u00f6nnen Sie es ihm beibringen. Sie k\u00f6nnen dieses Feld beispielsweise anweisen, Sonderzeichen wie ,() und ; (Sie werden in einem Kommentarbereich nicht besonders ben\u00f6tigt). Sie k\u00f6nnen diesem Feld sagen, dass der Name einer Person wahrscheinlich keine Zahlen enth\u00e4lt. Wenn Sie bereit sind, ein bisschen drakonisch zu sein, k\u00f6nnen Sie dieses Feld anweisen, Eingaben abzulehnen, die l\u00e4nger als f\u00fcnfzehn Zeichen sind (oder Sie k\u00f6nnen die Werte nach Belieben \u00e4ndern). Wenn Sie diese Schritte unternehmen, wird der Schaden, den ein Angreifer mit einem bestimmten Feld anrichten kann, drastisch begrenzt.\n<\/p>\n
\"\"<\/a><\/p>\n
\n  Auch bei der Datenvalidierung kann es Formulare oder Felder geben, in denen Sie die Art der verwendeten Zeichen nicht realistisch einschr\u00e4nken k\u00f6nnen, z. B. in einem Kontaktformular oder Kommentarfeld. Was Sie tun k\u00f6nnen, ist Daten bereinigen. Dieser Prozess macht es HTML unm\u00f6glich, in einem bestimmten Feld ausgef\u00fchrt zu werden, und wandelt alles, was m\u00f6glicherweise als ausf\u00fchrbarer Code erkennbar ist, in nicht codierende Zeichen um. Beispielsweise wird ein Hyperlink nicht angezeigt, wo sonst einer sein k\u00f6nnte.\n<\/p>\n
\n  Schlie\u00dflich gibt es F\u00e4lle, in denen Ihre Website m\u00f6glicherweise Daten anzeigt, die f\u00fcr Benutzer unsicher sind. Nehmen wir an, jemand schreibt einen b\u00f6swilligen Kommentar auf einer Ihrer Seiten, der anschlie\u00dfend von der Suchfunktion Ihrer Website indexiert wird. Immer wenn einer Ihrer Benutzer eine Suche durchf\u00fchrt, wird dieser b\u00f6sartige Code ausgef\u00fchrt, wenn sein Browser die Suchergebnisse l\u00e4dt. Dies wird durch Escaping von Daten verhindert, wodurch sichergestellt wird, dass, wenn Ihre Website Daten an einen Benutzer liefert, der einzige Code, der ausgef\u00fchrt wird, der Code ist, den Sie ausf\u00fchren m\u00f6chten.\n<\/p>\n
\n  F\u00fcr weitere Informationen zur Datenvalidierung, Datenbereinigung und Datenflucht bietet der WordPress Codex<\/a> eine hervorragende Ressource. Es wird die obigen Konzepte im Detail erkl\u00e4ren und weitere Beispiele geben, die universell angewendet werden k\u00f6nnen.\n<\/p>\n
\n  Andere Methoden
\n<\/h4>\n
\n  Gro\u00dfe Unternehmen haben gr\u00f6\u00dfere Websites; es ist eine Tatsache. Vielleicht nutzen Tausende von Menschen Ihre Website pro Tag. Vielleicht gibt es statt Standardformularen und -feldern auch Animationen, diverse Portale, in Java geschriebene Teile und so weiter. Selbst wenn Sie all das im Auge behalten, kann es sein, dass in einer Ihrer Bewerbungen ein Zero Day steht und Sie keine M\u00f6glichkeit haben, sich zu wehren.\n<\/p>\n
\n  Wenn Sie in einer solchen Situation den Einfluss und das Budget daf\u00fcr haben, w\u00fcrde ich Ihnen empfehlen, in eine Web Application Firewall (WAF) zu investieren. Eine gute WAF verf\u00fcgt \u00fcber Korrelationsregeln, die automatisch die HTML-Strings identifizieren und blockieren, die am h\u00e4ufigsten mit Code-Injection-Angriffen in Verbindung gebracht werden. Sie k\u00f6nnen Sie auch benachrichtigen, wenn Anwendungen damit beginnen, Daten zu exfiltrieren, obwohl dies nicht vorgesehen ist oder dies in einem ungew\u00f6hnlichen Umfang geschieht, und so zur Abwehr von Zero-Day-Angriffen und anderen fortschrittlichen Bedrohungen beitragen. Eine WAF ist keine Wunderwaffe, aber ein unsch\u00e4tzbares Werkzeug f\u00fcr Sicherheitsexperten und Websitebesitzer, die komplexe Anwendungen sch\u00fctzen m\u00f6chten.\n<\/p>\n
\n  Es gibt auch eine Reihe von Plugins, die vorgeben, XSS-Angriffe abzuwehren. Ich empfehle diese eigentlich nicht. Anstatt das Risiko zu reduzieren, stellen viele dieser Plugins nur eine weitere Angriffsfl\u00e4che dar, die ein Hacker ausnutzen kann. Sogar eines der bekanntesten und am weitesten verbreiteten Sicherheits-Plugins, Akismet, wurde letztes Jahr als anf\u00e4llig f\u00fcr XSS-Angriffe befunden.<\/a> Verlassen Sie sich bei der Abwehr von XSS-Angriffen nicht auf halbe Sachen. Entwickeln Sie die erforderlichen F\u00e4higkeiten und verwenden Sie die geeigneten Tools, um Ihre Website sicher zu halten.\n<\/p>\n
\n  Andere praktische Anwendungen
\n<\/h4>\n
\n  Diese Informationen k\u00f6nnen f\u00fcr Uneingeweihte etwas komplex sein, aber ich w\u00fcrde es hassen, wenn Menschen durch die potenzielle Komplexit\u00e4t dieser Informationen entmutigt werden. Sollte es zu einem XSS-Angriff kommen, k\u00f6nnen Sie sicher sein, dass die Bereinigung der Folgen eines solchen Ereignisses weitaus komplexer ist, als die \u00c4nderungen an Ihrer Website vorzunehmen. Die Bereinigung der Reputationskosten f\u00fcr Ihre Website (regelm\u00e4\u00dfige Leser werden Ihre Website ziemlich leicht fliehen) wird ein zus\u00e4tzliches Problem sein, \u00fcber das Sie sich keine Sorgen machen m\u00f6chten.\n<\/p>\n
\n  Selbst wenn Sie jemand anderen mit der Entwicklung und Sicherheit Ihrer Website beauftragen, tun Sie, was Sie k\u00f6nnen, um zumindest auf einen Notfall reagieren zu k\u00f6nnen und zu wissen, wo Ihre Schwachstellen liegen. Zu wissen, wie Sie Ihr System \u00fcberpr\u00fcfen, wird auf lange Sicht eine wichtige F\u00e4higkeit sein und die Grundlage f\u00fcr andere Sicherheitsthemen und Website-Entwicklungsprojekte bilden. Alles ist online miteinander verbunden, und w\u00e4hrend XSS-Angriffe in den letzten Jahren m\u00f6glicherweise der Vergangenheit angeh\u00f6ren (wie unwahrscheinlich dies auch ist), wird das Wissen um die Besonderheiten Ihrer Website niemals veraltet sein.\n<\/p>\n
\n  Abschlie\u00dfende Gedanken
\n<\/h4>\n
\n  Die Landschaft der Internetsicherheit \u00e4ndert sich st\u00e4ndig. Sie k\u00f6nnen nie ganz sicher sein, wie ein XSS-Angriff aussehen k\u00f6nnte oder wie er gegen Sie verwendet werden k\u00f6nnte, aber Sie schulden es sich selbst und Ihren Lesern, sicherzustellen, dass Sie alles in Ihrer Macht Stehende tun, um sie zu stoppen. Informieren Sie sich regelm\u00e4\u00dfig \u00fcber diese Bedrohung und informieren Sie sich regelm\u00e4\u00dfig (ich w\u00fcrde mindestens monatlich empfehlen) \u00fcber relevante Entwicklungen in der Welt der Cybersicherheit.\n<\/p>\n
\n  Das bedeutet auch nicht, dass Sie andere Bedrohungen ignorieren k\u00f6nnen. Der Zugang zu \u00f6ffentlichen Netzwerken erfordert immer noch die VPN-Nutzung, um sicher zu sein. Sie d\u00fcrfen die Sicherheit jedes Computers, den Sie f\u00fcr den Zugriff auf Ihre Website verwenden, nicht vernachl\u00e4ssigen. Anmeldeinformationen m\u00fcssen immer noch h\u00e4ufig ge\u00e4ndert und vor Brute-Force-Angriffen gesch\u00fctzt werden. XSS-Angriffe sind brutal, aber sie sind nicht die einzige Bedrohung, auf die Sie achten m\u00fcssen.\n<\/p>\n
\n  Es k\u00f6nnte auch angebracht sein, diese Informationen (oder sogar diesen Artikel) mit Ihren Kollegen und Interessenten zu teilen, um Widerstand gegen diese Art von Angriffen zu verbreiten. Auch wenn Sie m\u00f6glicherweise nicht in der Lage sind, allzu viel selbst zu tun, k\u00f6nnten wir einen allgemeinen R\u00fcckgang dieser Art von Angriffen feststellen, wenn sich gen\u00fcgend Menschen angemessen sch\u00fctzen, da Hacker versuchen, einen anderen Weg zu finden, um von armen Internetnutzern zu profitieren.\n<\/p>\n
\n  Haben Sie selbst schon eine Idee, wie Sie XSS-Attacken erkennen und sich in Zukunft dagegen wehren k\u00f6nnen? Gibt es andere Erkennungs- und Entfernungsstrategien, die Sie selbst anwenden, um diese Bedrohung zu bek\u00e4mpfen? Gibt es Tools, die Sie Ihren Mitlesern empfehlen w\u00fcrden? Wenn ja, hinterlassen Sie bitte unten einen Kommentar und setzen Sie dieses wichtige Gespr\u00e4ch mit Ihren Mitlesern fort.\n<\/p>\n<\/p>\n
\n  Aufnahmequelle: instantshift.com<\/a>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
Weltweit sind fast 48 Prozent aller Websites anf\u00e4llig f\u00fcr Cross-Site-Scripting (XSS). Weltweit nutzen ziemlich genau 25 Prozent aller Websites die WordPress-Plattform. Daraus folgt, dass im Venn-Diagramm von Websites, die f\u00fcr XSS anf\u00e4llig sind, und Websites, auf denen die WordPress-Plattform ausgef\u00fchrt wird, die \u00dcberschneidung ziemlich gro\u00df sein muss. Dies ist kein Klopfen an der Plattform selbst. Das WordPress-Team hat Sicherheit zu einem festen Bestandteil seines Leitbilds gemacht und patcht aggressiv Schwachstellen, sobald sie bekannt werden. Dies h\u00e4lt die Leute jedoch nicht davon ab, unsichere Themen zu programmieren oder unsichere Plugins zu installieren. Diese Probleme sind die beiden prim\u00e4ren Eing\u00e4nge \u2026<\/p>\n","protected":false},"author":1,"featured_media":222525,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[55,107],"tags":[],"class_list":["post-253369","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-web-und-wordpress","category-web-sicherheit"],"_links":{"self":[{"href":"https:\/\/inform.click\/de\/wp-json\/wp\/v2\/posts\/253369","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inform.click\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inform.click\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inform.click\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/inform.click\/de\/wp-json\/wp\/v2\/comments?post=253369"}],"version-history":[{"count":0,"href":"https:\/\/inform.click\/de\/wp-json\/wp\/v2\/posts\/253369\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inform.click\/de\/wp-json\/wp\/v2\/media\/222525"}],"wp:attachment":[{"href":"https:\/\/inform.click\/de\/wp-json\/wp\/v2\/media?parent=253369"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inform.click\/de\/wp-json\/wp\/v2\/categories?post=253369"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inform.click\/de\/wp-json\/wp\/v2\/tags?post=253369"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}