Wir möchten Ihre Aufmerksamkeit auf ein kritisches Sicherheitsrisiko lenken, das Ihre WordPress Website und sensible Daten gefährden könnte. Das CMS System WordPress legt bei bestimmten Konfigurationen Backup Dateien an, die möglicherweise für jeden offen zugänglich im Netz liegen.
Betroffen sind praktisch alle gängigen WordPress Versionen, da ein Update das Problem nicht zu beheben vermag.
Angreifer könnten durch den Zugriff auf diese Dateien nicht nur alle sensiblen Informationen, einschließlich Benutzerdaten entwenden, sondern Ihre gesamte Seite kopieren. In diesem Artikel erfahren Sie, wie Sie sich effektiv schützen können.
Mit unserem kostenlosen Quick-Check überprüfen Sie schnell und ohne Registrierung, ob auch Ihre Webseite betroffen ist.
Webseiten Quick-Check
Angriffsvektor
Diese Dateien können durch unachtsame Konfigurationen oder Plugins, die Backups im Web-Verzeichnis speichern, der Öffentlichkeit zugänglich gemacht werden. Da app-data.sql Ihre komplette Datenbank enthält und app-meta.ini wichtige Konfigurationsparameter beherbergen könnte, würden diese Informationen ausreichen, um Ihre Website zu replizieren oder schlimmer, sie für bösartige Aktivitäten zu missbrauchen.
Vermeidung durch Serverkonfiguration
Für Apache: Fügen Sie folgende Regeln zur .htaccess-Datei in Ihrem Wurzelverzeichnis hinzu:
Apache 2.2
<Files ~ "\.(sql|ini)$">
Order allow,deny
Deny from all
</Files>
Apache 2.4
<Files ~ "\.(sql|ini)$">
Require all denied
</Files>
NGINX
location ~* .(sql|ini)$ {
deny all;
}
Vermeidung durch Speicherort
Überprüfen Sie, wo Ihre Backup-Plugins die Dateien speichern. Stellen Sie sicher, dass sie nicht im öffentlichen Verzeichnis public_html oder htdocs abgelegt werden. Ändern Sie gegebenenfalls den Speicherort in einen nicht öffentlich zugänglichen Bereich oder in Cloud-Speicher
Plugin-Konfiguration
Stellen Sie sicher, dass alle Ihre Backup- und Datenbank-Management-Plugins so konfiguriert sind, dass sie keine sensiblen Daten in öffentlich zugänglichen Verzeichnissen speichern.
Berechtigungen überprüfen
Stellen Sie sicher, dass die Dateiberechtigungen korrekt gesetzt sind. Dateien sollten mit Berechtigungen wie 640 oder 600 konfiguriert sein, Verzeichnisse mit 750 oder 700.
Webhosting-Sicherheitsüberprüfungen
Sprechen Sie mit Ihrem Webhosting-Anbieter, um sicherzustellen, dass Ihre Konfiguration keine sensiblen Daten ungeschützt lässt.
Regelmäßige Sicherheitsüberprüfungen
Führen Sie regelmäßig Audits durch, um sicherzustellen, dass keine sensiblen Dateien irrtümlich öffentlich gemacht werden.
Automatisierte Überwachung
Eine weitere effektive Methode Sicherheitslücken wie der oben beschriebenen entgegenzuwirken Ihr System auf solche Fehlkonfigurationen überprüfen und Sie sofort benachrichtigen, wenn sensible Dateien öffentlich zugänglich sind. Wir bieten dazu ein Schwachstellen Management System an, das wir für Kunden as a Service betreiben.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: