Security Audit

So führen Sie eine vollständige WordPress-Sicherheitsüberprüfung durch [einschließlich Checkliste]

Updated on: March 29, 2020

So führen Sie eine vollständige WordPress-Sicherheitsüberprüfung durch [einschließlich Checkliste]

WordPress ist eines der weltweit am häufigsten verwendeten CMS. Über 70% der WordPress-Websites sind jedoch anfällig für Angriffe. Erschreckenderweise wissen die meisten Menschen nicht, ob sie verwundbar sind oder nicht. Die meisten Webinhaber gehen Jahre ohne Überprüfung des Sicherheitsstatus ihrer Website. Kein Wunder, dass sie die ersten sind, die gehackt werden. Die Kenntnis Ihrer Schwachstellen ist der erste Schritt zum Patchen. Hier kommt das WordPress-Sicherheitsaudit ins Spiel.

Nachrichten über die Ausbeutung auf WordPress-Websites haben uns nicht mehr überrascht, es ist so häufig. Kommentar zur WordPress-Sicherheit Matt Mullenweg, der Entwickler von WordPress, schreibt in seinem Blog :

Gleich getan ist viel gespart. Ich konnte mich nicht aus einer Tasche nähen, aber es ist auch ein wahrer Ratschlag für Blogger – ein bisschen Arbeit an einem Upgrade spart jetzt viel Arbeit, um etwas später zu reparieren.

In den meisten Fällen fehlen Updates, Sicherheitspatches oder Plugins, die zu einem Hack führen. Laut WordPress-Hacking-Statistiken führen mehr als 64% der Benutzer veraltete Versionen aus.

Haben Sie Ihre Website bereits auf Schwachstellen überprüft? Wenn nicht, verwenden Sie diesen Schwachstellenscanner, um dies jetzt zu überprüfen.

Lesen Sie diesen Artikel weiter, um zu erfahren, was ein WordPress-Sicherheitsaudit ist und warum Ihre Website es benötigt. Lesen Sie bis zum Ende, um Tools für die Durchführung eines WordPress-Sicherheitsaudits zu finden.

Was ist WordPress Security Audit?

Ein WordPress-Sicherheitsaudit ist eine sorgfältige Bewertung Ihrer Website und ihrer Ressourcen (einschließlich Plugins, Themes usw.). Bei einem tragfähigen Audit werden sowohl automatisierte Tools als auch menschliche Intelligenz verwendet, um die aktuelle Sicherheitsstruktur Ihrer Website genau zu beurteilen. Das Hauptziel eines Sicherheitsaudits besteht darin, alle zugrunde liegenden WordPress-Sicherheitsprobleme zu identifizieren .

Auf ein WordPress-Sicherheitsaudit folgt der WordPress-Penetrationstest. Damit sollen die im Audit festgestellten Schwachstellen ausgenutzt werden, um ein reales Bild der Situation und des Risikos zu erhalten. Der Penetrationstest hilft auch dabei, falsch positive Ergebnisse von echten Bedrohungen zu trennen.

Warum benötigen Sie ein WordPress-Sicherheitsaudit?

Es gibt nicht viel Raketenwissenschaft, warum Sie ein WordPress-Sicherheitsaudit benötigen. Die Logik ist einfach, wenn Sie eine Website haben und diese anfällig ist. Jeder kann sie hacken.

Daher ist eine WordPress-Sicherheitsüberprüfung erforderlich, um diese Sicherheitsanfälligkeiten zu finden und zu beheben, solange noch Zeit ist. Andernfalls können die Hacker, wenn sie sie vor Ihnen finden, Folgendes tun:

  • Löschen Sie alle Daten Ihrer WordPress-Site oder verschlüsseln Sie sie und fordern Sie ein Lösegeld an.
  • Verkaufen Sie die Daten Ihrer Website oder Benutzer im dunklen Internet.
  • Fügen Sie Spam in die Seiten Ihrer WordPress-Site ein, was zu einer Suchmaschinen-Blacklist führt.
  • Stehlen Sie die Kreditkarteninformationen Ihrer WordPress-Site-Informationen, was zu Klagen und hohen Geldstrafen gegen Sie führt.
  • Verwenden Sie Ihre Website, um andere und viel schlimmere Dinge zu infizieren!

Wie führe ich ein WordPress-Sicherheitsaudit durch?

Für ein WordPress-Sicherheitsaudit benötigen Sie zunächst das richtige Toolset. Das manuelle Herunterladen und Installieren der einzelnen Tools kann umständlich werden. Die beste Option, die uns zur Verfügung steht, ist die Verwendung von Kali Linux . Es handelt sich um ein spezielles Betriebssystem, das mit einer Vielzahl von Sicherheitstools geliefert wird.

Um Kali Linux auf Ihrem Computer zu verwenden, haben Sie viele Möglichkeiten. Für Anfänger werden wir den Ansatz der Verwendung von Virtualisierung verfolgen. Dies kann durch eine Software namens Virtual Box unter Windows erfolgen. Folgen Sie diesem Link , um den gesamten Einrichtungsprozess vom Herunterladen von Virtual Box bis zur Installation von Kali Linux zu starten . Nachdem unser Setup fertig ist, werden wir uns die Tools und deren Verwendung ansehen.

1. WPScan

Wenn es um die Sicherheitsüberprüfung von WordPress geht, gibt es vielleicht kein spezielles Tool als WPScan . Dieser Schwachstellenscanner kann Ihre WordPress-Site scannen und beispielsweise feststellen, welche Plugins Sie verwenden, welche WordPress-Versionsnummer usw. Anschließend verwendet er eine Schwachstellendatenbank , um Sie darüber zu informieren, ob eines dieser Plugins usw. eine Schwachstelle aufweist. Um dieses Tool zu verwenden, öffnen Sie das Terminal in Ihrem Kali Linux und geben Sie Folgendes ein:

wpscan --url https://www.wordpress.org
WordPress Sicherheitsüberprüfung wpscan Tool

2. PHPStan

PHPStan ist ein Tool, mit dem Sie eine vollständige Code-Analyse Ihrer WordPress-Site durchführen und versteckte Fehler aufdecken können. Es kommt auch in Form einer PHPStan- Erweiterung speziell für WordPress . Dieses Tool wird möglicherweise nicht mit dem Standard-Kali-Bundle geliefert, sodass Sie es separat herunterladen müssen. Zum Herunterladen und Installieren folgen Sie diesem Link . Sobald einige zusätzliche Änderungen vorgenommen wurden, öffnen Sie das Terminal in Kali, um dieses Tool zu verwenden, und geben Sie den folgenden Befehl ein:

Hersteller / bin / phpstan analysieren Dir1 Dir2

Ersetzen Sie Dir1 und Dir2 durch die Verzeichnisse mit dem WordPress-Code, den Sie nach Fehlern durchsuchen möchten.

3. Sqlmap

Eine der häufigsten Sicherheitslücken auf den Websites ist eine SQL-Injection. Obwohl die Wahrscheinlichkeit geringer ist, dass der WordPress-Kern anfällig ist, kann eine große Anzahl von Modulen für SQLi anfällig sein. Sqlmap ist das richtige Tool, um diese Art von Sicherheitslücke während des WordPress-Sicherheitsaudits zu überprüfen. Es kann nicht nur Datenbanken auflisten, sondern auch dazu beitragen, Reverse Shells zu erhalten! Um Sqlmap zu verwenden, öffnen Sie Ihr Terminal und geben Sie Folgendes ein:

sqlmap -u "www.your-site.com/module?param=" --random-agent --dbs

Ersetzen Sie hier die URL durch die zu testende und den Parameter durch die zu testenden Parameter. Die Option –random-agent bedeutet, dass der Benutzeragent zufällig ausgewählt wird. Während die Option –dbs bedeutet, Datenbanken aufzulisten .

WordPress Security Audit SQLMAP

4. XSSer

Eine weitere häufige Sicherheitslücke in Websites ist das Cross-Site-Scripting. XSSer ist genau das richtige Framework, um XSS-Fehler in Ihrem WordPress zu finden und auszunutzen. Mit diesem Tool können sogar die Module von WordPress überprüft werden. Darüber hinaus können Sie mit diesem Tool bestimmte Sicherheitsfilter umgehen. Um die grafische Version dieses Tools zu verwenden, öffnen Sie das Terminal in Kali und geben Sie Folgendes ein:

xsser --gtk

Danach wird eine grafische Oberfläche geöffnet. Stellen Sie einfach die notwendigen Optionen ein und beginnen Sie!

WordPress-Sicherheitsaudit XSSer

5. WPSpolit

WPSpoilt ist eine Anpassung des berühmten Metasploit-Frameworks speziell für WordPress. Daher enthält es eine Sammlung von WordPress-spezifischen Exploits. Dies sind derzeit 15. Um dieses Werkzeug zu verwenden, laden Sie die Exploits und Hilfsmittel und dann exportieren , um sie auf das Metasploit – Verzeichnis wie folgt aus . Öffnen Sie anschließend das Terminal in Kali und geben Sie Folgendes ein:

msfconsole

Dieser Befehl öffnet das Metasploit-Framework. Von hier aus kann auf diese Exploits zugegriffen und ausgeführt werden, um ein WordPress-Sicherheitsaudit durchzuführen.

Professionelle WordPress-Penetrationstests mit Astra

Die oben genannten Schritte berühren die Oberfläche des WordPress-Sicherheitsaudits und des Pen-Tests. Ein detaillierterer Ansatz würde den Rahmen dieses Artikels sprengen. Anfänger werden es daher leicht finden, die oben genannten Verfahren zu befolgen. Dies ist zwar ein guter Anfang, aber nicht narrensicher. Daher ist ein detaillierterer Ansatz erforderlich, um Ihre Website zu sichern.

Diese detaillierte Prüfung kann nur von Fachleuten wie denen von Astra durchgeführt werden . Das von Astra durchgeführte Sicherheitsaudit kann die Sicherheitslücken aufdecken, die durchschnittliche Benutzer wie Sie übersehen hätten. Der Astra Vulnerability Assessment & Penetration Test deckt Schwachstellen ab wie:

  • Fehlkonfiguration von Konfiguration und Bereitstellung.
  • WordPress Core, Plugins & Themenspezifische Sicherheitslücken.
  • Unterbrochene oder falsche Authentifizierung.
  • Identifizieren von Sicherheitslücken in der technischen und geschäftlichen Logik.
  • 1250+ aktive Sicherheitstests.
Schwachstellenbewertung und Penetrationstests von Astra
Schwachstellenbewertung und Penetrationstests von Astra

Und das Beste daran ist, dass all dies zu einem erschwinglichen Preis angeboten wird .

Vergessen Sie nicht, unsere umfassende WordPress-Sicherheitscheckliste herunterzuladen, die von unseren Sicherheitsexperten entwickelt wurde

Was this post helpful?

Naman Rastogi

Naman Rastogi is a Growth hacker and digital marketer at Astra security. Working actively in cybersecurity for more than a year, Naman shares the passion for spreading awareness about cybersecurity amongst netizens. He is a regular reader of anything cybersecurity which he channelizes through the Astra blog.Naman is also a jack of all trade. He is certified in market analytics, content strategy, financial markets and more while working parallelly towards his passion i.e cybersecurity.When not hustling to find newer ways to spread awareness about cybersecurity, he can be found enjoying a game of ping pong or CSGO.
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

Psst! Hi there. We’re Astra.

We make security simple and hassle-free for thousands
of websites and businesses worldwide.

Our suite of security products include firewall, malware scanner and security audits to protect your site from the
evil forces on the internet, even when you sleep.

earth spiders cards bugs spiders

Made with ❤️ in USA France India Germany