Eine detaillierte Erklärung, wie Angreifer Man-in-the-Middle (MitM) verwenden, um WordPress-Websites und Anmeldeinformationen zu hacken. Dieser Artikel dient nur zu Bildungszwecken.
Wie jede andere Webanwendung mit einem Anmeldeformular übermittelt WordPress Ihren Benutzernamen und Ihr Passwort in einer HTTP-Anfrage, wenn Sie sich anmelden. Standardmäßig ist HTTP kein verschlüsseltes Protokoll. Das bedeutet, dass die Kommunikation zwischen Ihnen und dem Webserver lauschanfällig ist, es sei denn, Ihre WordPress-Website verwendet HTTPS.
Hacker mit böswilliger Absicht können den Klartext-HTTP-Verkehr Ihrer WordPress-Website (unverschlüsselt) leicht abfangen und ändern. Eine der interessantesten Informationen für einen Angreifer sind natürlich Ihre WordPress-Administratoranmeldeinformationen.
Die Software zur Durchführung von Man-in-the-Middle-Angriffen (MitM) ist frei und weit verbreitet. Dieser Artikel behandelt einige Beispiele aus der Praxis, wie MitM verwendet werden kann, um die Kontrolle über Ihre WordPress-Website zu übernehmen. Dann empfiehlt es, wie man sich am besten gegen sie verteidigt.
- Was ist ein Man-in-the-Middle-Angriff (MitM)?
- Wie kommt ein Angreifer in die Mitte?
- WordPress–Websites hacken – Passwörter stehlen & Anmeldeinformationen
- Stehlen von Authentifizierungscookies
- Wie beziehen sich Cookies auf die Authentifizierung?
- Schützen Sie sich / Ihre WordPress-Website vor MitM-Angriffen
- Zusätzliche WordPress-Sicherheitsvorkehrungen
Was ist ein Man-in-the-Middle-Angriff (MitM)?
Ein Man-in-the-Middle (MitM) -Angriff ist ein allgemeiner Begriff für Angriffe, bei denen sich ein Hacker als Vermittler zwischen einem Sender und einem Empfänger positioniert. Zum Beispiel zwischen Ihrem Browser und der Website, die Sie besuchen. Auf diese Weise kann der Angreifer den Inhalt belauschen und in vielen Fällen auch ändern, während er zwischen den beiden Parteien gesendet und empfangen wird. In den meisten Fällen können sie sich anmelden und Ihre WordPress-Website hacken, wenn sie die Anmeldeinformationen erfassen.
Wie kommt ein Angreifer in die Mitte?
Bei Man-in-the-Middle-Angriffen (MitM) befindet sich ein Angreifer in der Regel (nicht immer) im selben lokalen Netzwerk (LAN) wie Sie. Einer der häufigsten MitM-Angriffe ist ARP-Spoofing. Die wesentlichen Details von ARP-Spoofing gehen über den Rahmen dieses Artikels hinaus. Das Ergebnis eines erfolgreichen ARP-Spoofing-Angriffs würde jedoch dazu führen, dass Ihr Netzwerk-Switch oder Router dazu verleitet wird zu glauben, dass der Computer des Angreifers Ihr Computer ist und umgekehrt.
Dies hat zur Folge, dass anstatt dass jede Partei Daten direkt an die andere sendet, diese zuerst an den Angreifer gesendet werden. Um die Dinge normal erscheinen zu lassen, leitet der Angreifer den Datenverkehr an das rechtmäßige Ziel weiter. Dies gibt dem Angreifer jedoch die Möglichkeit, den Inhalt der Übertragung zu überprüfen und sogar zu ändern.
WordPress–Websites hacken – Passwörter stehlen & Anmeldeinformationen
Um zu verstehen, wie WordPress-Anmeldeinformationen gestohlen werden, schauen wir uns zunächst eine HTTP-Anforderung mit eingereichten Anmeldeinformationen mithilfe der integrierten Entwicklertools des Browsers an.
Beachten Sie, dass dies kein Man-in-the-Middle-Angriff (MitM) ist, aber dies hilft zu veranschaulichen, worauf Sie später achten müssen.
Schauen wir uns nun an, was ein Angreifer sehen würde, wenn er unverschlüsselten HTTP-Datenverkehr überprüft. In diesem Beispiel verwenden wir Wireshare, ein kostenloses und beliebtes Netzwerkanalysetool.
Zusätzlich zum Stehlen von WordPress-Passwörtern / Anmeldeinformationen kann ein Angreifer auch einfach Ihr Authentifizierungscookie stehlen, um sich als Sie auszugeben.
Wie beziehen sich Cookies auf die Authentifizierung?
HTTP ist ein zustandsloses Protokoll. In HTTP legt der Server Anfragen, die über denselben TCP-Socket eingehen, keine besondere Bedeutung bei. Dies bedeutet, dass der Browser ein temporäres Token speichern muss, es sei denn, Sie möchten Ihr Passwort jedes Mal eingeben, wenn Sie eine Seite anfordern. Dieses Token wird als Sitzungstoken bezeichnet. Der Browser sendet dieses Token automatisch bei jeder Anfrage. Glücklicherweise haben Browser einen eingebauten Mechanismus dafür – Cookies. Aus diesem Grund werden Sie durch das Löschen Ihrer Browser-Cookies von allen Websites abgemeldet.
Dies bedeutet, dass ein Angreifer nicht einmal Ihr Passwort benötigt, um sich als Sie auszugeben. Das einzige, was sie brauchen, ist, Ihr Sitzungstoken zu erhalten.
Wieder einmal sind die gleichen Informationen für einen Angreifer innerhalb von Wireshark zugänglich.
Mit einer kostenlosen Browsererweiterung wie Cookie-Editor kann ein Angreifer problemlos den Wert des gestohlenen Cookies in seinem Browser verwenden und den WordPress-Administrator wie Sie durchsuchen.
Schützen Sie sich / Ihre WordPress-Website vor MitM-Angriffen
Man-in-the-Middle-Angriffe wie die in diesem Artikel gezeigten sind für einen Angreifer mit sehr geringem Aufwand durchzuführen. Besonders in öffentlichen oder schlecht gesicherten Netzwerken wie einem öffentlichen WLAN. Glücklicherweise ist es sehr einfach, sich vor diesen Hacking-Angriffen zu schützen — stellen Sie sicher, dass Sie HTTPS auf Ihrer WordPress-Website aktivieren und erzwingen.
HTTPS verschlüsselt den Datenverkehr zwischen Ihrem Browser und dem Server. Wenn ein Angreifer versuchen müsste, den Inhalt des HTTPS-Datenverkehrs zu lesen, wird er nur viel bedeutungslosen, verstümmelten verschlüsselten Text sehen.
Zusätzliche WordPress-Sicherheitsvorkehrungen
Während Sie zweifellos HTTPS auf Ihrer Website als erste Priorität aktivieren sollten, um Man-in-the-Middle-Angriffe (MitM) zu vereiteln, sind die folgenden Best Practices für die Nachverfolgung hilfreich, um das Shoring zu überprüfen.
- Fügen Sie eine Zwei-Faktor-Authentifizierung (2FA) hinzu, um die Sicherheit Ihres WordPress-Website-Authentifizierungsmechanismus zu erhöhen
- Erzwingen Sie starke WordPress-Passwörter, um Angriffe auf Passwortraten erheblich zu erschweren
- Führen Sie ein WordPress-Aktivitätsprotokoll, um den unbefugten Zugriff auf den WordPress-Administrator zu überwachen
- Installieren Sie einen WordPress-Dateiintegritätsmonitor, um böswillige Dateiänderungen an Ihrer WordPress-Installation zu erkennen
- Richten Sie eine WordPress-Firewall und eine Sicherheitslösung ein, um häufige Angriffe auf Webanwendungen zu verhindern.