Warum einen Firewall- und Malwarescanner für WordPress benutzen?
In der Computersicherheit ist eine Vulnerability eine Schwachstelle, die von einem Angreifer, wie z. B. einem Hacker, ausgenutzt werden kann, um Funktionen innerhalb eines Computersystems zu erhalten (d. h. nicht autorisierte Aktionen auszuführen). Um eine Schwachstelle auszunutzen, muss ein Angreifer über mindestens ein anwendbares Tool oder eine Technik verfügen, die eine Verbindung zu einer Systemschwäche herstellen kann. Schwachstellen werden in diesem Rahmen auch als Angriffsstellen bezeichnet.
Unter Schwachstellenmanagement versteht man das Ermitteln aller Assets, Priorisieren von Assets, Bewerten oder Durchführen eines vollständigen Schwachstellenscans, Berichte über Ergebnisse, Beheben von Schwachstellen, Überprüfen der Behebung – Wiederholen. Diese Praxis bezieht sich im Allgemeinen auf Software-Schwachstellen in Computersystemen. Agiles Schwachstellenmanagement bezieht sich auf das Verhindern von Angriffen, indem alle Schwachstellen so schnell wie möglich identifiziert werden.
Ein Sicherheitsrisiko wird oft fälschlicherweise als Schwachstelle eingestuft. Es gibt Schwachstellen ohne Risiko: zum Beispiel, wenn die betroffenen Daten wertlos sind.
Das Schließen einer Sicherheitslücke bedeutet somit etwas mehr als eine Schwachstelle. Hier wurde definitiv erkannt, dass mit gewissen Prozessen eine für den Besitzer der Webseite nicht gewünscht autorisierte Aktion durchgeführt werden kann, z.B. Linkeinbindung von Werbung in die Webseite bis hin zum Datenklau von Benutzerdaten der Anwender.
Beispiel einer XSS Vulnerability
Cross-Site Scripting (XSS)-Angriffe sind eine Art der Injektion, bei der bösartige Skripts in ansonsten harmlose und vertrauenswürdige Websites eingeschleust werden. XSS-Angriffe treten auf, wenn ein Angreifer eine Webanwendung verwendet, um bösartigen Code, im Allgemeinen in Form eines browserseitigen Skripts, an einen anderen Endbenutzer zu senden. Schwachstellen, die den Erfolg dieser Angriffe ermöglichen, sind weit verbreitet und treten überall dort auf, wo eine Webanwendung Eingaben von Benutzern innerhalb der von ihr generierten Ausgabe verwendet, ohne sie zu validieren oder zu codieren.
Ein Angreifer kann XSS verwenden, um ein bösartiges Skript an einen ahnungslosen Benutzer zu senden. Der Browser des Endbenutzers kann nicht wissen, dass das Skript nicht vertrauenswürdig ist, und führt das Skript aus. Da es davon ausgeht, dass das Skript von einer vertrauenswürdigen Quelle stammt, kann das schädliche Skript auf alle Cookies, Sitzungstoken oder andere vertrauliche Informationen zugreifen, die vom Browser gespeichert und mit dieser Website verwendet werden. Diese Skripte können sogar den Inhalt der HTML-Seite umschreiben.
WordPress - Creative Publisher