Warum WordPress-Malware-Scanner wertlos sind
Veröffentlicht: 2023-07-18Neue Untersuchungen von Snicco, WeWatchYourWebsite, dem von Automattic unterstützten GridPane und PatchStack zeigen, dass WordPress-Malware-Scanner, die als Plugins in einer kompromittierten Umgebung fungieren, grundsätzlich fehlerhaft sind. Malware-Scanner sind bestenfalls Bereinigungstools für bereits kompromittierte Websites. Sie stellen keine solide Verteidigungslinie dar und werden derzeit aktiv von Malware in freier Wildbahn besiegt. Überlassen Sie die Malware-Erkennung einem Qualitätshost. Konzentrieren Sie Ihre Sicherheitsrichtlinien auf die Absicherung der Anmeldeauthentifizierung, die Benutzerverwaltung, die ordnungsgemäße Delegation von Berechtigungen und eine sorgfältige Versionsverwaltung.
So 2000 und spät: Malware-Scanner haben ihre Nützlichkeit überlebt
Plugins zur Malware-Erkennung für WordPress stammen aus dem Jahr 2011, als SQL-Injection-Angriffe weit verbreitet und effektiv waren. Wer damals mit WordPress arbeitete, wird sich an eine weit verbreitete Bildbearbeitungsbibliothek namens TimThumb erinnern. Es wurde Zero-Day-Exploits ausgesetzt, die für Millionen von Websites schreckliche Folgen hatten.
Dies war der Notfallkontext, aus dem WordPress-Sicherheits-Plugins entstanden sind – als Reaktion. Einige Sicherheits-Plugins sehen heute immer noch wie Norton Security und McAfee Anti-Virus aus. Das waren vor 20 bis 30 Jahren beliebte Sicherheitsanwendungen für Windows. Aber wie John McAfee sagte, nachdem er das von ihm gegründete Unternehmen verlassen hatte, sei sein Antivirenscanner in „Bloatware“ verwandelt worden. Seiner Meinung nach war es „die schlechteste Software der Welt“.
Ähnliche Schlussfolgerungen könnten heute auch für WordPress-Malware-Scanner gezogen werden, basierend auf den jüngsten Erkenntnissen mehrerer WordPress-Sicherheitsforscher.
„Eine bereits kompromittierte Umgebung kann sich nicht selbst analysieren.“
Eine Illusion der Sicherheit: WordPress-Malware-Scanner im Test
Im ersten Teil einer Serie mit dem Titel „Malware Madness: Warum alles, was Sie über Ihren WordPress Malware Scanner wissen, falsch ist“, teilt der WordPress-Sicherheitsforscher Calvin Alkan (Gründer des Sicherheitsunternehmens Snicco) einige seiner Arbeiten. Alkan arbeitete mit Patrick Gallagher (CEO und Mitbegründer von GridPane) und Thomas Raef (Inhaber von WeWatchYourWebsite.com) zusammen, um herauszufinden, ob Malware-Scanner besiegt werden könnten. Wenig überraschend stellt sich heraus, dass sie besiegt werden können – und zwar sehr leicht. Patchstack lieferte eine unabhängige Bestätigung der Ergebnisse von Alkan.
Lokale Scanner: Der Anruf kommt aus dem Haus
Bei ihren Tests untersuchten Alkan und seine Mitarbeiter zunächst lokale Scanner. Wordfence, WPMU Defender, die kostenlose Version von All-In-One Security (AIOS) und NinjaScanner erledigen ihre gesamte Arbeit auf demselben Server wie die WordPress-Site, auf der sie installiert sind. Das bedeutet, dass die Malware-Scanner denselben PHP-Prozess verwenden wie WordPress und die Malware, die es infiziert. Nichts hindert die Malware daran, aktiv mit dem Scanner zu interagieren. Die Malware könnte alle erkannten Sicherheits-Plugins deaktivieren, sich selbst auf die Whitelist setzen (im Jahr 2018 berichtet) oder Scanner so manipulieren, dass sie den Eindringling nicht erkennen.
„Sowohl der Malware-Scanner als auch die Malware laufen im selben PHP-Prozess. Das bedeutet, dass Malware die Funktionalität des Scanners manipulieren oder manipulieren kann – ein äquivalentes Szenario wäre, wenn ein Angeklagter in einem Gerichtsverfahren als sein eigener Richter fungiert .“
Als nächstes erstellten Alkan und seine Partner funktionierende Proof-of-Concepts zur Bekämpfung von Malware-Scannern. (Sie haben auch angeboten, ihre Exploit-Kits privat mit Sicherheitsforschern und -anbietern zu teilen.) Laut Oliver Sild, CEO von Patchstack, bestehen die Exploit-Kits nur aus wenigen Codezeilen.
Alkan stellte außerdem fest, dass „gerenderte“ Malware, „die sich mithilfe von PHP dynamisch selbst erstellt“, von lokalen Malware-Scannern nicht erkannt werden kann. Schließlich konnten die lokalen Scanner keine „In-Process“-Malware erkennen. Diese Art von Malware „wird einmal ausgeführt und löscht sich dann selbst vom System, ohne Spuren ihrer Anwesenheit zu hinterlassen.“
Fernscanner: Besiegt durch Beweismanipulation und Tatortsäuberung
Zu den Scannern, die ihre Analyse auf einem Remote-Server durchführen, gehören Malcare, Virusdie, All-In-One Security (AIOS) Pro, Sucuri und JetPack Scan. Diese neueren Remote-Scan-Methoden haben mehrere Vorteile, darunter einen geringeren Platzbedarf und Auswirkungen auf die Leistung Ihres lokalen Servers. Lokale Scanner nutzen für ihre Arbeit die Serverressourcen Ihrer Site, was zu Leistungseinbußen führt. Auch die Remote-Malware-Analyse ist vor Manipulation geschützt, da sie nicht im selben PHP-Prozess wie eine aktive Malware-Infektion erfolgt.
Remote-Scanner sind anfällig für Malware, die die Daten manipuliert, die zur Analyse an den Remote-Server zurückgesendet werden. Alkan hat einen weiteren Proof-of-Concept erstellt, der zeigt, dass Remote-Scanner auf diese Weise umgangen werden können – indem die „Beweise“ einer Malware-Infektion verborgen werden. Auch Oliver Sild bestätigte dieses Ergebnis:
„Datenmanipulation kann konzeptionell dadurch erreicht werden, dass das lokale Plugin ein Ziel der Täuschung ist. Wir haben einen Proof of Concept erhalten, der dies deutlich zeigt.“
Eine etwas andere Malware-Taktik könnte darin bestehen, „den Tatort zu schrubben“ und keine Spuren einer Infektion zu hinterlassen, die gescannt werden könnten. Alkan schlug vor, dass dies möglich sei, lieferte jedoch keinen Proof of Concept.
Es ist wichtig zu beachten, dass die Überprüfung der Dateiintegrität, die nach nicht autorisierten Änderungen sucht, hilfreich sein kann, wenn Sie versuchen, eine Malware-Infektion zu erkennen. Diese Art von Scan vergleicht lokale Dateien mit einem geschützten Remote-Code-Repository, um inoffizielle Änderungen im WordPress-Kern oder in Plugin- und Theme-Dateien zu erkennen. Leider kann die Änderungserkennung vereitelt werden, wenn der Prozess durch Malware manipuliert wird.
Nicht nur eine Hypothese: Malware deaktiviert bereits WordPress-Sicherheitsscanner in freier Wildbahn
Nach den Exploit-Kits von Alkan kommt die größte Enthüllung in Sniccos Bericht von Thomas Raef, dem CEO von We Watch Your Website, das gehackte WordPress-Seiten erkennt und bereinigt:
„In den letzten 60 Tagen wurden 52.848 Websites gehackt, auf denen WordFence vor der Infektion installiert war. In 14 % der Fälle (7.399) manipulierte die installierte Malware WordFence-Dateien . Andere beliebte Dienste hatten sogar noch höhere Prozentsätze; MalCare kommt auf 22 % und VirusDie auf 24 %.“
Eine detaillierte Darstellung der Analyse von We Watch Your Website finden Sie im Bericht von Thomas Raef, „How We Identified Nearly 150K Hacked WordPress Sites in 60 Days“.
Damit ist das Spiel für Malware-Scan-Plugins vorbei. Darin heißt es, dass das Scannen von WordPress-Malware reines Sicherheitstheater ist – „die Praxis, Sicherheitsmaßnahmen zu ergreifen, die das Gefühl einer verbesserten Sicherheit vermitteln sollen, ohne jedoch wenig oder gar nichts zu tun, um dies zu erreichen.“
Zweifellos geht das auch schon seit langer Zeit so.
Kathy Zant, Veteranin der Sicherheitsbranche und Marketingleiterin bei Kadence, sagte gegenüber Alkan:
„Im Laufe meiner Tätigkeit habe ich etwa 18 Monate lang WordPress-Seiten für ein bekanntes WordPress-Unternehmen bereinigt und dabei Malware von weit über 2.000 Seiten entfernt. Der früheste Zeitraum, den ich gesehen habe [Malware, die Malware-Scans besiegt], war Mitte bis Ende 2017. […] Ich bin sicher, dass es sie immer noch gibt. Und es könnte durchaus weitere Varianten geben, die ähnliche oder noch schlimmere Aktionen ausführen.“
Das ist die schlechte Nachricht: Malware-Scannern kann man nicht vertrauen. Die gute Nachricht ist, dass sie nie eine echte Verteidigung angeboten haben. Wenn Sie nur die Illusion von Sicherheit verloren haben, ist das tatsächlich ein Schritt in Richtung echter Sicherheit.
So sichern Sie Ihre WordPress-Site – richtig
Nach einem Bericht wie dem von Snicco lautet die große Frage: „Wie können WordPress-Sites ein hohes Vertrauen in ihre Sicherheit erreichen?“
Alkan ist davon überzeugt, dass Sicherheitsmethoden auf jeden Server-Stack zugeschnitten sein müssen und dass der serverseitige Malware-Scan, der vom Host durchgeführt wird, für Website-Besitzer die einzige lohnenswerte Art des Scans ist.
„WordPress-Sicherheits-Plugins sollten NUR Dinge tun, die am besten auf der Anwendungs-/PHP-Ebene erledigt werden können“, betont er.
„Die WordPress-Community muss ihren Sicherheitsansatz von der Erkennung auf die Prävention umstellen und gleichzeitig die Bedeutung des Malware-Scans beibehalten, um die Wirksamkeit der ‚höheren Sicherheitsebenen‘ zu überprüfen.“
Starke Sicherheit bei der Benutzeranmeldung wie Zwei-Faktor-Authentifizierung und Passkeys gepaart mit Sitzungssicherheit sind laut Alkan Bereiche, in denen WordPress-Plugins helfen können – Plugins wie iThemes Security. Das war schon immer die Leitphilosophie unseres Entwicklungsteams – ein Sicherheits-Plugin eignet sich am besten, um Websites zu härten und die Angriffsfläche zu verringern.
Zu weiteren wichtigen Möglichkeiten, die Abwehrmaßnahmen Ihrer WordPress-Site zu stärken, gehört eine sorgfältige Benutzerverwaltung nach dem Prinzip der geringsten Rechte: Geben Sie einem Benutzer niemals mehr Macht als nötig. Und für privilegiertere Benutzer benötigen sie einen höheren Sicherheitsstandard – 2FA, Passkeys, vertrauenswürdige Geräte und sichere Passwörter, die noch nie bei einem bekannten Verstoß aufgetreten sind.
Heutige Angriffstrends zielen mit Passwort-Stuffing, Phishing und Spearphishing auf intelligente Weise auf kleine und mittlere Unternehmen ab. Diese Angriffsvektoren nutzen eine schwache Anmeldeauthentifizierung und menschliches Versagen aus. Sie nutzen rohe Gewalt und clevere Social-Engineering-Taktiken, um einzelne Benutzerkonten zu kompromittieren. Mit einem gehackten Benutzerkonto kann ein Angreifer großen Schaden anrichten. Sie können noch mehr Schaden anrichten, wenn sie auch ein anfälliges Plugin sehen, das sie ausnutzen können. Sobald ein Angreifer in Ihrem System ist, kann er Hintertüren erstellen, über die er jederzeit wieder eindringen kann.
Ein Sicherheits-Plugin, das einen Malware-Scanner hervorhebt, wird sie nicht aufhalten.
Das beste WordPress-Sicherheits-Plugin zum Sichern und Schützen von WordPress
WordPress betreibt derzeit über 40 % aller Websites und ist damit ein großes und bekanntes Ziel für Cyberkriminelle. Das iThemes Security Pro-Plugin macht das Rätselraten bei der WordPress-Sicherheit überflüssig und macht es einfach, Ihre WordPress-Website zu sichern und zu schützen. Es ist, als hätten Sie einen Vollzeit-Sicherheitsexperten an Ihrer Seite, der Ihre WordPress-Site ständig für Sie überwacht und schützt.
Dan Knauss ist der Generalist für technische Inhalte bei StellarWP. Er ist Autor, Lehrer und Freiberufler und arbeitet seit Ende der 1990er Jahre mit Open Source und seit 2004 mit WordPress.