Sicherheitslücke durch Wordpress Backups: jetzt prüfen

Table of Contents

Wir möchten Ihre Aufmerksamkeit auf ein kritisches Sicherheitsrisiko lenken, das Ihre Wordpress Website und sensible Daten gefährden könnte. Das CMS System Wordpress legt bei bestimmten Konfigurationen Backup Dateien an, die möglicherweise für jeden offen zugänglich im Netz liegen.

Betroffen sind praktisch alle gängigen Wordpress Versionen, da ein Update das Problem nicht zu beheben vermag.

Angreifer könnten durch den Zugriff auf diese Dateien nicht nur alle sensiblen Informationen, einschließlich Benutzerdaten entwenden, sondern Ihre gesamte Seite kopieren. In diesem Artikel erfahren Sie, wie Sie sich effektiv schützen können.

Mit unserem kostenlosen Quick-Check überprüfen Sie schnell und ohne Registrierung, ob auch Ihre Webseite betroffen ist.

Webseiten Quick-Check

[mcf_formular]

Angriffsvektor

Diese Dateien können durch unachtsame Konfigurationen oder Plugins, die Backups im Web-Verzeichnis speichern, der Öffentlichkeit zugänglich gemacht werden. Da app-data.sql Ihre komplette Datenbank enthält und app-meta.ini wichtige Konfigurationsparameter beherbergen könnte, würden diese Informationen ausreichen, um Ihre Website zu replizieren oder schlimmer, sie für bösartige Aktivitäten zu missbrauchen.

Vermeidung durch Serverkonfiguration

Für Apache: Fügen Sie folgende Regeln zur .htaccess-Datei in Ihrem Wurzelverzeichnis hinzu:

Apache 2.2

<Files ~ "\.(sql|ini)$">
  Order allow,deny
  Deny from all
</Files>

Apache 2.4

<Files ~ "\.(sql|ini)$">
  Require all denied
</Files>

NGINX

location ~* .(sql|ini)$ {
deny all;
}

Vermeidung durch Speicherort

Überprüfen Sie, wo Ihre Backup-Plugins die Dateien speichern. Stellen Sie sicher, dass sie nicht im öffentlichen Verzeichnis public_html oder htdocs abgelegt werden. Ändern Sie gegebenenfalls den Speicherort in einen nicht öffentlich zugänglichen Bereich oder in Cloud-Speicher

Plugin-Konfiguration

Stellen Sie sicher, dass alle Ihre Backup- und Datenbank-Management-Plugins so konfiguriert sind, dass sie keine sensiblen Daten in öffentlich zugänglichen Verzeichnissen speichern.

Berechtigungen überprüfen

Stellen Sie sicher, dass die Dateiberechtigungen korrekt gesetzt sind. Dateien sollten mit Berechtigungen wie 640 oder 600 konfiguriert sein, Verzeichnisse mit 750 oder 700.

Webhosting-Sicherheitsüberprüfungen

Sprechen Sie mit Ihrem Webhosting-Anbieter, um sicherzustellen, dass Ihre Konfiguration keine sensiblen Daten ungeschützt lässt.

Regelmäßige Sicherheitsüberprüfungen

Führen Sie regelmäßig Audits durch, um sicherzustellen, dass keine sensiblen Dateien irrtümlich öffentlich gemacht werden.

Automatisierte Überwachung

Eine weitere effektive Methode Sicherheitslücken wie der oben beschriebenen entgegenzuwirken Ihr System auf solche Fehlkonfigurationen überprüfen und Sie sofort benachrichtigen, wenn sensible Dateien öffentlich zugänglich sind. Wir bieten dazu ein Schwachstellen Management System an, das wir für Kunden as a Service betreiben.

Related Posts

Quantensichere Kryptographie - next Gen IT Security

Mit dem Fortschritt im Bereich des Quantencomputings stehen herkömmliche Verschlüsselungsmethoden vor erheblichen Herausforderungen, da sie möglicherweise nicht in der Lage sind, Sicherheit vor Cyberangriffen zu gewährleisten. Die Quantensichere Kryptographie, auch bekannt als Post-Quantum-Kryptographie, stellt eine wichtige Initiative dar, um dieses aufkommende Problem anzugehen.

Read More

Datendiebstahl durch Skimming

Skimming, auch als Skimming-Attacke bekannt, ist eine Form des digitalen Diebstahls, bei dem Cyberkriminelle illegale Datenlesegeräte (Skimmer) einsetzen, um vertrauliche Informationen von Zahlungskarten zu stehlen. Dabei kommen Geräte meist an Geldautomaten oder POS-Terminals zum Einsatz. Jedoch hat sich die Skimming-Landschaft mit der Evolution der Technologie und den veränderten Zahlungsgewohnheiten weiterentwickelt.

Read More

VCSS 4.0 - das neue Schwachstellenbewertungssystem

Die Common Vulnerability Scoring System (CVSS) Version 4.0 bringt eine Reihe von Änderungen im Vergleich zur vorherigen Version 3.1 mit sich. Einige der bemerkenswerten Änderungen sind:

Read More