So beheben und verhindern Sie XSS-Angriffe in WordPress

Machen Sie sich Sorgen, dass Hacker Ihre Website angreifen?

Cross-Site-Scripting, auch XSS genannt, ist einer der häufigsten Angriffe auf WordPress-Seiten. Hacker finden Schwachstellen auf Ihrer Seite und nutzen diese, um Informationen zu stehlen und Ihre Website missbräuchlich zu verwenden.

Was noch schlimmer ist: Wenn Sie es nicht sofort beheben, könnten diese Hacks zu schwerwiegenderen Schäden führen – Schäden, von denen man sich nur sehr schwer erholen kann.

Sie können diese Hacks verhindern, indem Sie eine Firewall auf Ihrer WordPress-Seite installieren.

Wenn Ihre Website bereits angegriffen wird, zeigen wir Ihnen in einfacher, anfängerfreundlicher Sprache, wie Sie das Problem sofort beheben können. Wir werden Fachbegriffe aus der Cybersicherheit in diesem Tutorial auf ein Minimum beschränken. Wir zeigen Ihnen auch, wie Sie zukünftige Angriffe verhindern können.

Zuerst wollen wir kurz verstehen, was bei einem XSS-Angriff passiert, damit Sie besser darauf vorbereitet sind.

Was ist ein XSS-Angriff in WordPress?

XSS steht für Cross Site Scripting, eine Art von Injection-Angriff, bei dem Hacker bösartige Skripte in eine Website einschleusen.

Diese Skripte sind als guter Code auf einer vertrauenswürdigen Website getarnt. Wenn ein Benutzer diese Website besucht, führt sein Browser den gesamten Code aus, einschließlich des bösartigen Skripts, da er glaubt, es handele sich um vertrauenswürdige Anweisungen.

Stellen Sie sich vereinfacht vor, Sie wären ein Spion und hätten gerade eine offizielle E-Mail von der Regierung über eine streng geheime Mission erhalten. Sie enthält alle Anweisungen, die Sie bis ins kleinste Detail befolgen müssen.

Was Sie nicht wissen, ist, dass jemand diese E-Mail abgefangen und ein paar eigene Anweisungen hinzugefügt hat. Die Regierung ahnt nichts davon und Sie überprüfen es nicht, weil Sie der Quelle vertrauen.

Einiges davon ergibt keinen Sinn, aber Sie sind darauf trainiert, jeden Befehl zu befolgen, um Ihre Mission zu erfüllen.

In diesem Szenario ist die Regierung Ihre Website und der Spion ist der Browser des Benutzers. Der Browser folgt den Anweisungen Ihrer Website und kann nicht zwischen guten und schlechten Skripten unterscheiden.

Diese Skripte sind normalerweise in Javascript geschrieben, einer der beliebtesten und am weitesten verbreiteten Programmiersprachen. Diese Angriffe können jedoch mit jeder clientseitigen Sprache durchgeführt werden.

Es gibt viele Möglichkeiten, einen XSS-Angriff durchzuführen. Eine Möglichkeit besteht darin, ahnungslosen Benutzern einen Link zu senden, damit sie darauf klicken. Sobald sie darauf klicken, kann der Angriff möglicherweise eine oder mehrere der folgenden Aktionen ausführen:

• Benutzer auf eine bösartige Website umleiten
• Die Tastatureingaben des Benutzers erfassen
• Browserbasierte Exploits ausführen
• Cookie-Informationen des Benutzers stehlen, der in einem Konto angemeldet ist

Wenn der Hacker in der Lage ist, Cookie-Informationen zu stehlen, kann er das Konto des Benutzers vollständig kompromittieren. Wenn Sie beispielsweise in das wp-admin-Panel Ihrer Website eingeloggt sind, kann der Hacker Ihre Anmeldedaten stehlen und sich bei Ihrer Website anmelden.

Um diese Angriffe zu verhindern, müssen Sie sicherstellen, dass alle Benutzerdaten ordnungsgemäß validiert und bereinigt werden, bevor sie auf Ihre Website gelangen. Auf diese Weise kann keine Benutzereingabe bösartiger Javascript-Code sein. Darüber hinaus müssen Sie sicherstellen, dass keine XSS-Schwachstellen auf Ihrer Website vorhanden sind, die einen Hacker angreifen lassen könnten.

Wir haben die Oberfläche von XSS-Angriffen gerade erst angekratzt, aber wir hoffen, Sie haben ein gutes Verständnis dafür, wie ein WordPress XSS-Angriff funktioniert. Wenn Sie vermuten, dass Ihre Website gehackt wurde, folgen Sie unserer einfachen Schritt-für-Schritt-Anleitung unten.

Wie man einen XSS-Angriff in WordPress findet und behebt

Um jegliche Art von Malware oder Hacks auf Ihrer Website zu finden, müssen Sie einen tiefen Scan Ihrer gesamten Website einschließlich ihrer Dateien und Datenbank durchführen.

Wir werden Sucuri verwenden, um Ihre gehackte Website zu scannen und zu bereinigen. Sucuri bietet Ihnen eine robuste Sicherheitskonfiguration, einschließlich einer Firewall, eines Malware-Scanners und eines Malware-Bereinigers.

Sucuri bietet einen kostenlosen Website-Malware-Scanner, den Sie in Ihre WordPress-Site installieren können, indem Sie zum Tab Plugins » Neues Plugin hinzufügen navigieren.

Wir empfehlen die Verwendung des Premium-Server-Side-Scanners. Dieser wird Ihre Website von Grund auf durchsuchen, um jede Spur von Malware zu finden.

Zusätzlich dazu sind hier einige seiner Highlights:

• Überwacht Spam und bösartige Skripte
• Prüft auf versteckte Backdoors, die von Hackern erstellt wurden
• Erkennt Änderungen an DNS (Domain Name System) und SSL
• Prüft auf Blacklists bei Suchmaschinen und anderen Behörden
• Überwacht die Website-Verfügbarkeit
• Sofortige Benachrichtigungen per E-Mail, SMS, Slack und RSS

Weitere Details finden Sie in unserem Sucuri-Testbericht.

Sucuri kostet 199,99 $ pro Jahr. Wenn das Ihr Budget übersteigt, können Sie andere Sicherheit-Plugins ausprobieren. Sehen Sie sich unsere Liste an: 9 beste WordPress-Sicherheits-Plugins im Vergleich.

Stellen Sie bei der Auswahl eines Sicherheit-Plugins sicher, dass es Ihnen alle Cybersicherheitsfunktionen bietet, die Sie benötigen, um Malware-Infektionen zu finden und zu beheben und Ihre Website zu schützen.

Schritt 1: Scannen Ihrer Website

Um zu beginnen, müssen Sie einen Plan abonnieren bei Sucuri. Melden Sie sich dann im Sucuri-Dashboard an, wo Sie Ihre Website hinzufügen können.

Hier müssen Sie Ihre Website verbinden, indem Sie Ihre FTP-Zugangsdaten eingeben. Wenn Sie Ihre FTP-Zugangsdaten nicht kennen, erhalten Sie diese von Ihrem Webhost.

Sobald Ihre Website verbunden ist, führt Sucuri automatisch einen gründlichen Scan Ihrer Website durch. Danach wird Ihnen ein detaillierter Bericht im Tab „Meine Websites“ angezeigt.

Nun können Sie auf die Schaltfläche „Details“ neben der Warnmeldung klicken. Dies öffnet die Seite Überwachung, auf der Sie die Details des Hacks oder der Infektion einsehen können.

Schritt 2: Anfordern einer Malware-Bereinigung

Auf der Seite Überwachung sehen Sie, welche Art von Malware Ihre Website infiziert hat. Sucuri fügt eine Bewertung hinzu, um das Risiko anzuzeigen. Wenn es sich also um ein kritisches oder hohes Risiko handelt, wissen Sie, dass Sie es sofort beheben müssen. Außerdem wird angezeigt, ob Ihre Website von Suchmaschinen blockiert wurde.

Jetzt, da Sie wissen, dass Ihre Website infiziert ist, müssen Sie sie bereinigen, und Sucuri macht Ihnen das sehr einfach. Um mit dem Prozess zu beginnen, klicken Sie auf die Schaltfläche „Meine Website bereinigen“.

Auf der nächsten Seite klicken Sie auf die Schaltfläche Neue Malware-Entfernungsanfrage und ein Formular wird angezeigt, in das Sie die Details Ihrer Website eingeben können.

Füllen Sie einfach das Formular aus und senden Sie es ab. Danach werden die Sicherheitsexperten von Sucuri Ihre Website für Sie bereinigen. Falls Sie einige der benötigten Details für das Formular nicht kennen, können Sie diese bei Ihrem Webhost erfragen.

Nun fragen Sie sich vielleicht, wie lange es dauern würde, bis Ihre Website bereinigt ist.

Sucuri räumt Nutzern mit Business-Tarif die höchste Priorität ein. Sie garantieren eine Bearbeitungszeit von 6 Stunden. Bei anderen Tarifen hängt es davon ab, wie komplex die Infektion Ihrer Website ist und wie hoch das Anfragevolumen in der Warteschlange ist.

Unmittelbar nach einem Angriff empfehlen wir dringend, alle Benutzer von Ihrer Website abzumelden und Ihre Anmeldedaten zu ändern, um auf der sicheren Seite zu sein.

So verhindern Sie XSS-Angriffe auf Ihrer WordPress-Website

Es ist immer am besten, Ihre Website zu schützen und diese Art von Malware-Angriffen auf Ihrer Website zu verhindern. Das ist viel einfacher und billiger, als zu versuchen, eine gehackte Website zu reparieren. Hier sind unsere Top-Empfehlungen zur Verhinderung von XSS-Angriffen auf Ihrer Website.

1. Aktivieren Sie eine Web Application Firewall (WAF)

Sucuri hat eine der besten Firewalls für WordPress-Websites. Sie blockiert nicht nur XSS-Angriffe, sondern auch alle anderen Arten von Malware-Angriffen wie DDoS, Brute Force, Phishing und SQL-Injections.

Die Firewall sitzt vor Ihrer Website und scannt jeden Benutzer, der durchkommt. Sie identifiziert und blockiert bösartige Bots, bevor sie Ihre Website erreichen.

Um die Sucuri-Firewall zu aktivieren, navigieren Sie zum Tab Firewall in Ihrem Sucuri-Dashboard.

Wählen Sie Ihre Website aus, und Sie sehen Einrichtungsanweisungen, denen Sie folgen können. Sucuri bietet Ihnen 2 Optionen zur Einrichtung der Firewall:

1. Automatische Integration: Geben Sie einfach Ihre Hosting-Zugangsdaten über cPanel oder Plesk ein. Diese Methode erfordert, dass Sie Sucuri Zugriff auf den Server Ihrer Website gewähren, um die Firewall automatisch auf Ihrer Website einzurichten.

2. Manuelle Integration: Sie können die Firewall selbst einrichten, ohne Sucuri internen Zugriff zu gewähren. Klicken Sie zum Starten auf den internen Domain-Link und stellen Sie sicher, dass er geladen wird.

Als Nächstes können Sie Ihr DNS konfigurieren, um Ihren Webverkehr auf die Sucuri-Firewall umzuleiten. Dazu müssen Sie auf die DNS-Einträge in Ihrem Hosting-Konto zugreifen. Hier können Sie den 'A'-Eintrag Ihrer Website ändern und die von Sucuri bereitgestellten IP-Adressen eingeben.

Wenn Sie gestresst sind, dass das alles zu kompliziert ist, können Sie Ihren Webhoster um Hilfe bitten, und er wird Sie durch den Prozess führen. Darüber hinaus können Sie auch ein Support-Ticket bei Sucuri eröffnen, und deren Support-Team hilft Ihnen bei der Änderung der DNS-Einträge.

Um ein Ticket zu eröffnen, finden Sie einen Link in den manuellen Anweisungen auf derselben Seite.

Nachdem Sie die Firewall eingerichtet haben, dauert es normalerweise einige Stunden, bis die Änderungen wirksam werden. Sie können eine maximale Wartezeit von 48 Stunden erwarten.

Wenn Sie die Firewall aktivieren, werden automatisch Sicherheits-Header zu Ihrer Website hinzugefügt, um sie vor XSS-Angriffen zu schützen.

Wenn ein XSS-Angriffsversuch stattfindet, wird Sucuri ihn blockieren und Ihnen im Tab Berichte melden.

Was wir an der Sucuri-Firewall lieben, ist, dass sie für jeden, auch für Anfänger, sehr einfach zu bedienen ist. Sie müssen kein Cybersicherheitsexperte sein oder programmieren können.

Sie können alle Arten von Schutzfunktionen mit einem Klick im Tab Einstellungen » Sicherheit aktivieren.

Sie können beispielsweise DDoS-Schutz und Geoblocking aktivieren, um es Hackern zu erschweren, Ihre Website anzugreifen.

Um hier eine Sicherheitsfunktion zu aktivieren, müssen Sie nur das Kontrollkästchen aktivieren und Ihre Einstellungen speichern. Wenn Sie sie deaktivieren müssen, müssen Sie nur das Kontrollkästchen deaktivieren.

Darüber hinaus wird das Sucuri-Plugin:

• Regelmäßig auf Spam und bösartigen Code scannen und überwachen
• Sie auf Cross-Site-Scripting-Schwachstellen aufmerksam machen
• Schlechte Bots und Hacker blockieren
• Auf Blacklists bei Suchmaschinen und anderen Behörden prüfen
• Die Website-Verfügbarkeit überwachen
• Änderungen an DNS (Domain Name System) und SSL erkennen
• Ihnen sofortige Sicherheitswarnungen per E-Mail, SMS, Slack und RSS senden

So ist Ihre Website jederzeit geschützt.

2. Sichere Formulare verwenden

Auf einer anfälligen Website sind Formulare eines der häufigsten Ziele für Hacker. Wenn Ihr Formular ungesichert ist, bedeutet dies, dass jeder einfach bösartigen Code in Ihre Formularfelder eingeben kann.

Unsere Empfehlung zur Sicherung der Formulare Ihrer Website ist WPForms. Es ist der führende WordPress-Formularersteller, der über integrierte Sicherheit verfügt, sodass Ihre Formulare von Anfang an geschützt sind.

Standardmäßig ist der Anti-Spam-Schutz für Formulare aktiviert. Außerdem können Sie Ihren Formularen CAPTCHA hinzufügen, um Spam-Bots zu blockieren.

Sie können ein unsichtbares Captcha aktivieren oder die Art, bei der ein Benutzer ein kleines Rätsel lösen oder ein Kästchen ankreuzen muss, um zu beweisen, dass er ein Mensch ist.

3. Benutzerrollenberechtigungen festlegen

Wenn mehrere Personen an Ihrer Website arbeiten, ist es nicht ratsam, jedem Administratorzugriff zu gewähren. Es ist besser, ihnen Rollen basierend auf den benötigten Berechtigungen zuzuweisen.

WordPress ermöglicht es Ihnen, Rollen zu erstellen für:

• Super-Administrator
• Administrator
• Herausgeber
• Autor
• Mitarbeiter
• Abonnent

Wenn ein Hacker die Kontrolle über das Konto eines Benutzers erlangt, sind seine Möglichkeiten auf Ihrer Website eingeschränkt.

4. Inaktive Benutzer automatisch abmelden

Hacker können auf Benutzerkonten zugreifen, indem sie deren Browsersitzungen kapern und Cookies stehlen.

Sie können dieses Risiko minimieren, indem Sie inaktive WordPress-Benutzer abmelden.

Viele Sicherheits-Plugins verfügen über eine Funktion zur Abmeldung nach Inaktivität, oder Sie können das Plugin Inactive Logout verwenden.

5. Aktualisieren Sie Ihre Website regelmäßig

WordPress-Plugins, Themes und sogar Ihre WordPress-Installation erhalten regelmäßig Updates. Sie sehen diese in Ihrem WordPress-Dashboard, wenn sie verfügbar sind:

Viele Website-Besitzer ignorieren Updates lange Zeit, aber das kann Ihre Website für Hacker anfällig machen. Updates enthalten normalerweise Fehlerbehebungen, neue Funktionen und Verbesserungen der Software. Sie können auch Sicherheitspatches enthalten. Sie können sehen, ob ein Update einen Sicherheitspatch enthält, indem Sie die Details des Updates anzeigen.

Das bedeutet, dass eine Schwachstelle in der Software gefunden wurde, die Hacker nutzen können, um Ihre Website anzugreifen. Wenn Entwickler Sicherheitsprobleme finden, beheben sie diese und veröffentlichen eine neue Version der Software.

Alles, was Sie tun müssen, ist, die Software auf Ihrer Website zu aktualisieren.

Wenn Sie also sehen, dass es sich um einen Sicherheitspatch handelt, aktualisieren Sie ihn sofort, um jedes Risiko eines Hackerangriffs zu vermeiden.

Einer der Hauptgründe, warum Website-Besitzer Updates ignorieren, ist, dass sie manchmal Ihre Website beschädigen oder Kompatibilitätsprobleme verursachen können. Wir empfehlen Ihnen, das Update auf einer Staging-Site zu testen und es dann auf Ihrer Live-Site auszuführen.

Damit haben Sie gelernt, wie Sie XSS-Angriffe auf Ihrer WordPress-Website beheben und verhindern können.

Bevor wir zum Ende kommen, geben wir Ihnen noch einen Sicherheitstipp. Erstellen Sie regelmäßig Sicherungen Ihrer Website.

Selbst mit den stärksten Sicherheitsmaßnahmen auf Ihrer Website können viele Dinge schiefgehen. Zum Beispiel kann ein Benutzer einen einfachen menschlichen Fehler machen, der Ihre Website zum Absturz bringt.

Sie können automatisierte Backups mit einem Backup-Plugin wie UpdraftPlus einrichten. Weitere Optionen finden Sie in unserer Liste der besten WordPress-Backup-Plugins.

FAQs

1. Ist WordPress anfällig für Cross-Site-Scripting-Angriffe?

Die WordPress-Kernsoftware wird von einigen der besten Experten der Welt entwickelt und gepflegt. Ihre Software ist ziemlich solide, aber denken Sie daran, dass keine Software frei von Schwachstellen ist.

Der Grund, warum WordPress-Websites oft angegriffen werden, ist, dass die Plattform so beliebt ist. Und die meisten Benutzer installieren Unmengen von Drittanbieter-Themes und -Plugins. In jedem dieser Elemente können Schwachstellen entstehen, und Hacker können sie ausnutzen, um Ihre Website zu hacken.

2. Gibt es verschiedene Arten von Cross-Site-Scripting-Angriffen?

Ja. Es gibt 3 Hauptarten von XSS-Angriffen:

• Stored XSS (auch bekannt als persistent XSS): Angreifer speichern ihre Payload auf einem kompromittierten Server, wodurch die Website bösartigen Code an andere Besucher liefert.
• Reflected XSS: Die Payload wird in den Daten gespeichert, die vom Browser an den Server gesendet werden.
• DOM XSS: Hier ist nicht der Server selbst anfällig für XSS, sondern das JavaScript auf der Seite.
• Self Cross-Site Scripting: Angreifer können eine Schwachstelle ausnutzen, die einen sehr spezifischen Kontext und manuelle Änderungen erfordert. Das Opfer hier können nur Sie selbst sein.
• Blind Cross-Site Scripting: Bei diesen Angriffen liegt die Schwachstelle häufig auf einer Seite, auf die nur autorisierte Benutzer zugreifen können. Der Angreifer kann das Ergebnis eines Angriffs nicht sehen.

3. Wie stelle ich sicher, dass es keine anderen Sicherheitsprobleme auf meiner Website gibt?

Stellen Sie sicher, dass Sie immer ein Sicherheit-Plugin auf Ihrer Website installiert haben. Dies ist ein Muss für alle Arten von Websites, einschließlich WooCommerce, Blogs und kleinen Unternehmens-Websites. Wir empfehlen Sucuri, aber Sie können sich auch Wordfence, MalCare und SiteLock ansehen. Sehen Sie hier weitere unserer Top-Empfehlungen: 9 beste WordPress-Sicherheits-Plugins im Vergleich.

4. Schützt WordPress vor XSS?

WordPress verfügt über mehrere Sicherheitsmaßnahmen, um vor Cross-Site-Scripting (XSS)-Angriffen zu schützen. Die Wirksamkeit dieser Maßnahmen hängt jedoch davon ab, wie die Website konfiguriert ist, welche Themes und Plugins verwendet werden und wie gut sie gepflegt wird. Sie sollten Ihre eigenen Maßnahmen ergreifen, um Ihre Website vor solchen Angriffen zu schützen.

5. Ist die CSP von WordPress wirksam gegen XSS-Angriffe?

WordPress hat in neueren Versionen Content Security Policy (CSP)-Header eingeführt. Eine gut konfigurierte CSP kann XSS-Angriffe wirksam verhindern, indem sie angibt, welche Inhaltsquellen auf einer Webseite ausgeführt werden dürfen. Stellen Sie sich vor, Ihre Website ist eine Burg und Sie möchten sie vor bösen Dingen schützen. CSP ist wie eine Reihe von Regeln, die den Wachen (Ihrem Webbrowser) sagen, welche Personen (Skripte) die Burg (Ihre Website) betreten dürfen.

Das ist alles für heute. Wir hoffen, dieser Beitrag hat Ihnen alles gegeben, was Sie brauchen, um Ihre Website zu sichern.

Weitere Informationen zur Website-Sicherheit finden Sie in unseren Ressourcen zu:

• Der vollständige Leitfaden zur WordPress-Sicherheit (anfängerfreundlich)
• 5 beste WordPress-Schwachstellen-Scanner, um Bedrohungen zu finden
• 9 beste Aktivitätsprotokoll-Plugins, um Ihre WordPress-Site zu verfolgen und zu auditieren

Diese Beiträge geben Ihnen weitere Möglichkeiten, Schwachstellen zu schließen und Ihre Website vor allen Risiken zu schützen.