SQL Injection bei WordPress

Shownotes

David betreibt seit Jahren eine eigene Website, auf der er regelmäßig spannende Artikel rund um Technik und digitale Trends veröffentlicht – inklusive eines exklusiven Mitgliederbereichs.

Eines Morgens stellt er fest, dass seine Seite ungewöhnlich langsam reagiert, und seine Logfiles verraten wiederholte Zugriffsversuche von verdächtigen IP-Adressen.

Schnell wird klar: Ein Hacker hat eine bekannte Sicherheitslücke in dem beliebten Plugin „WP Statistics“ ausgenutzt, um per SQL-Injection unautorisierten Zugriff auf die Datenbank zu erlangen. Dabei wurden sensible Kundendaten gefährdet und das System manipuliert – ein Weckruf für jeden Webseitenbetreiber!

Was wird erklärt:

• Was SQL und SQL-Injection grundsätzlich bedeuten und wie sie funktionieren.
• Wie Hacker durch das gezielte Einschleusen von SQL-Befehlen Schwachstellen in unzureichend gesicherten Plugins ausnutzen.
• Welche Maßnahmen – von regelmäßigen Updates und Firewalls bis zu Backups und restriktiven Datenbankrechten – dir helfen, deine Website zu schützen.

Links

Kinsta: SQL Injection: Ein detaillierter Leitfaden für WordPress-Benutzer

Transkript

Beschreibung Situation und Akteure

David betreibt seit Jahren eine eigene Website, auf der er regelmäßig spannende Artikel und News rund um Technik und digitale Trends veröffentlicht. Vor einiger Zeit hat er einen Mitgliederbereich eingerichtet, in dem seine treuen Leser gegen einen kleinen Mitgliedsbeitrag noch mehr Artikel lesen können und in dem er regelmäßig Tutorials und Videoanleitungen exklusiv für sie veröffentlicht.

Um herauszufinden, wie seine Besucher seine Seite nutzen, hat David ein beliebtes Plugin installiert, das Statistiken sammelt. Dieses Plugin heißt “WP Statistics” – ein Tool, das auf über 600.000 Websites verwendet wird.

Und hier beginnt unsere Geschichte: In einer älteren Version dieses Plugins gibt es einen Fehler, eine Schwachstelle, die Hacker gerne ausnutzen. Diese Schwachstelle macht das Plugin und damit die Website anfällig für SQL Injection. Wenn du dich ein wenig mit WordPress beschäftigt hast, hast du vielleicht schon davon gehört. Wenn nicht, keine Sorge, wir werden gleich erklären, was es damit auf sich hat.

Angriff auf David’ Website

In David’ Fall bedeutet die Schwachstelle, dass ein Hacker Zugriff auf seine persönlichen Daten hatte.

Und David war daran nicht ganz unschuldig, denn er war in letzter Zeit etwas nachlässig mit der Aktualisierung seiner Website. Von einer Sicherheitslücke wusste er nichts.

So geriet er in die Fänge eines Hackers, der mit Hilfe von Bots, also kleinen Programmen, das Internet automatisiert nach angreifbaren Webseiten durchsucht. So fand er auch David‘ Website mit der Sicherheitslücke und griff sie an.

Angriff aus Sicht des Opfers

Alles begann an einem ganz normalen Morgen. David loggte sich wie gewohnt in sein WordPress-Backend ein, um seine Besucherzahlen zu überprüfen und sich einen Überblick zu verschaffen. Doch an diesem Tag stieß er auf etwas Ungewöhnliches: Seine Website war viel langsamer als sonst und seine Statistiken sahen irgendwie seltsam aus. Gott sei Dank hatte er ein Plugin installiert, das alle Aktionen auf seiner Website aufzeichnete. Er sah sich die Aufzeichnungen, die Log-Dateien, an.

Diese Protokolldateien (oder Logfiles) zeichnen eingehende und ausgehende Verbindungsversuche von Benutzern auf der Website auf, einschließlich blockierter oder nicht autorisierter Anfragen. Sie speichern IP-Adressen, Zeitstempel und verdächtige Aktivitäten wie SQL Injection oder andere Angriffe. Logs können daher helfen, Angriffe zu erkennen, Sicherheitslücken zu identifizieren und unberechtigte Zugriffe zu analysieren.

Wenn man sie richtig versteht. David sah, dass eine IP-Adresse immer wieder versuchte, seine Website anzugreifen. Er konnte aber nicht sehen, ob diese Angriffe erfolgreich waren und verstand auch nicht wirklich, was in den Logdateien stand.

Er versuchte, die Ergebnisse zu googeln, aber wirklich schlau wurde er daraus nicht. Was er verstand, war, dass er angegriffen worden war und die Chancen gut standen, dass seine Website gehackt worden war. Ihm wurde übel.

Was kann ein solcher Angriff bewirken?

Er hatte keine große Online-Plattform, aber er bot einen Mitgliederbereich an, in den sich seine Kunden einloggen konnten. Was, wenn jemand ihre Daten gestohlen hätte? Er verbrachte den ganzen Tag damit, unzählige Websites, Foren und Informationen zu durchsuchen.

Am Abend hatte er Gewissheit! Seine Website war einem Hacker zum Opfer gefallen. Er vermutete, dass es das Plugin “WP Statistics” war. Er hatte mehrere Einträge gefunden, dass dieses Plugin eine Sicherheitslücke hatte und David hatte leider keine Updates gemacht.

SQL Injection, dieser Begriff tauchte immer wieder auf. SQL, davon hatte David schon ein paar Mal gehört. Irgendwas hatte das mit der Datenbank seiner Website zu tun.

Aber was genau war das?

Was ist SQL?

SQL ist die Abkürzung für “Structured Query Language”. Einfach ausgedrückt ist SQL eine Sprache, die verwendet wird, um mit Datenbanken zu kommunizieren.

Datenbanken kann man sich wie riesige digitale Aktenschränke vorstellen, in denen in unserem Fall alle Informationen der WordPress-Website gespeichert sind.

Mit SQL-Anweisungen kannst du diese Datenbanken nach bestimmten Informationen abfragen oder neue Daten hinzufügen.

Jedes Mal, wenn jemand deine Website besucht, holt sich die Seite die entsprechenden Informationen aus diesem Aktenschrank und schickt sie an den Besucher deiner Website.

Okay, aber wie hackt man das jetzt?

Was ist ein SQL Injection Angriff?

Normalerweise gibt die Website klare Anweisungen für die Datenbank.

Angenommen, du möchtest dich anmelden. Du gibst deine Zugangsdaten in das Anmeldeformular ein und schickst es ab. Die Website muss nun überprüfen, ob du wirklich die Person bist, die du vorgibst zu sein. Dazu vergleicht sie deinen Anmeldenamen und dein Passwort mit den Informationen, die sie für dich gespeichert hat. Sie schickt eine Anweisung in der Sprache SQL an die Datenbank. So etwas wie: “Finde bitte den Eintrag für den Benutzer ‘13’ im Ordner ‘Benutzer’”. Dort sind deine Daten gespeichert. Wenn sie übereinstimmen, bist du eingeloggt.

Vereinfacht gesagt, schreibt ein Hacker nun diese Anweisung um, trickst ein wenig herum und die Webseite schickt dann zum Beispiel die Anweisung: “Suche mir bitte ‘ALLE’ Ordner aus dem Schrank ‘Benutzer’!”. Damit hätte der Hacker nun alle Benutzernamen und Passwörter der Website (auch wenn diese gehasht sind, aber das ist ein Thema für einen anderen Podcast).

Normalerweise sollte dieser Trick nicht funktionieren. Websites, die mit Datenbanken arbeiten, müssen die Eingaben der Benutzer sicher verarbeiten und sollten nicht in der Lage sein, einen veränderten Befehl wie den unseres Hackers auszuführen. Hier kommen Sicherheitsmechanismen zum Einsatz, die verhindern sollen, dass Hacker dies ausnutzen und sich Informationen anzeigen lassen, die sie nicht sehen sollen.

Aber… trotz aller Maßnahmen gibt es immer wieder Webseiten (bei WordPress sind es meist Plugins), die anfällig für SQL Injections sind, weil die Sicherheitsmechanismen nicht richtig funktionieren.

Programmierer sind auch nur Menschen und machen Fehler.

Ein SQL Injection-Angriff findet also statt, wenn ein Angreifer spezielle Befehle in die SQL-Statements einschleust, die dann von der ungeschützten Website ausgeführt werden.

Wie oder wo gibt ein Hacker die Anweisung ein?

Es gibt mehrere Möglichkeiten:

Der Hacker kann Eingabefelder auf deiner Webseite benutzen, zum Beispiel für Kommentare oder Kontaktformulare. Das funktioniert aber in der Regel nicht, zumindest dann nicht, wenn das Plugin, das du für diese Eingabefelder verwendest, gut programmiert ist und keine Sicherheitslücke hat.

Die zweite Möglichkeit ist noch einfacher: über die URL. Die Anfragen und Antworten der Datenbank können über die URL, also die Webadresse, übertragen werden. Ändert der Hacker in dieser URL bestimmte Wörter und klickt auf Enter, also schickt die URL erneut ab, werden andere Dinge auf der Website geladen. Auch das sollte eigentlich nicht so funktionieren, dass er sensible Daten angezeigt bekommt, die ihm nicht zustehen. Aber es passiert.

Dann kann er natürlich auch einfach ein Hackerprogramm dafür verwenden – davon gibt es einige. Und nicht wenige automatisieren solche Angriffe. Der Hacker muss also nicht einmal viel tippen. Es gibt noch andere Möglichkeiten, aber das würde zu weit führen.

In unserem Fall ist es relativ einfach: Der Hacker hat ein beliebtes Plugin gefunden, das SQL Injections ermöglicht. Wie er das gefunden hat? Er hätte natürlich selbst nach Schwachstellen suchen können, aber er hat es sich einfach gemacht: Er hat einfach geschaut, welche Sicherheitslücken in letzter Zeit für WordPress gefunden wurden und sich eine ausgesucht, die vielversprechend ist. In unserem Fall ein beliebtes Plugin. Unser Hacker weiß, dass viele WordPress-Besitzer ihre Websites nicht regelmäßig aktualisieren, also hat er viele potenzielle Opfer.

Gefährlichkeit von SQL Injection Angriffen?

Ein SQL Injection-Angriff kann sehr gefährlich sein, da er auf das Herzstück deiner WordPress-Website abzielt: die Datenbank.

In der WordPress-Datenbank sind alle wichtigen Website-Informationen gespeichert: Benutzerkonten inklusive Email-Adressen und Passwörter. Bestellungen, wenn du einen Onlineshop hast. Deine Blogbeiträge und Kommentare. Aber auch Zahlungsdaten und Kundeninformationen, wenn deine Website damit arbeitet. Kurz gesagt, alles Wichtige und Geheime ist in der Datenbank gespeichert.

Wenn ein Hacker Zugriff auf deine Datenbank hat, kann er viele Dinge sehen und tun:

• Er kann wichtige Daten wie Kundendaten oder Zahlungsinformationen stehlen, verändern oder sogar komplett löschen.
• Er kann auch deine ganze Website verändern, zum Beispiel das Layout unkenntlich machen, eigene Inhalte einfügen oder sie ganz löschen. Das nennt man Defacement und kommt leider sehr häufig vor.
• In manchen Fällen kann sich der Angreifer auch Administratorrechte verschaffen, d.h. er wird zum Admin der Website und kann so Schadcode installieren oder weitere Angriffe durchführen.

Ein solcher Angriff kann zu langen Ausfallzeiten, rechtlichen Konsequenzen und einem erheblichen Vertrauensverlust führen und gilt daher als sehr bedrohlich.

David Website

So, jetzt wissen wir, was ein SQL Injection-Angriff ist. Aber das hilft David nicht weiter, er sitzt immer noch vor seiner Website und wird immer verzweifelter.

Er hat das Problem gefunden: das Plugin, das er für seine Besucherstatistik benutzt. Aber was soll er damit machen?

Und was ist mit den Daten seiner Mitglieder, die einen Account bei ihm haben? Muss er seine Website vom Netz nehmen und den Mitgliederbereich schließen?

So ein Mist!

Der Angriff aus Hacker-Sicht

Betrachten wir den Hackerangriff einmal von der anderen Seite – aus der Sicht des Hackers!

Der Hacker in unserer Geschichte sucht ganz gezielt nach Schwachstellen für SQL Injections. Er macht das automatisiert und wird oft fündig. Viele Plugins und Themes haben Schwachstellen und immer wieder gibt es Webseitenbetreiber, die keine Updates machen – also die Sicherheitslücken offen lassen.

Ein gefundenes Fressen für unseren Hacker.

Die Sicherheitslücke im Plugin “WP-Statistics” ist für ihn wie ein Sechser im Lotto. Das Plugin hat 100.000de Nutzer und wie immer sind viele davon nicht besonders updatefreudig. Und so sammelt er Website um Website, die für seine SQL-Attacken anfällig sind.

Gerade sitzt er auf der Website von David. Mit einem seiner Hacker-Tools bereitet er den Angriff vor.

Der Angriff startet

Zuerst testet er, ob David Website überhaupt für seinen Angriff anfällig ist. Dazu sendet er eine spezielle Anfrage an David Website. Dabei verändert er die URL so, dass sie kleine zusätzliche Befehle enthält.

Normalerweise sollte die Website diese zusätzlichen Befehle ignorieren oder ablehnen. Da aber in der alten Version des Plugins Fehler gemacht wurden, kann der Hacker seinen Code einfügen. Es funktioniert und der Hacker kann seinen Angriff starten.

Das erste, was unser Hacker macht, ist die Struktur der Datenbank zu erkunden, damit er weiß, wo und was er später stehlen wird. Das macht er, indem er SQL-Befehle sendet und sich die Antwort genau ansieht.

Meistens erhält man entweder die gewünschten Daten oder eine Fehlermeldung, je nachdem, welchen Befehl man eingegeben hat. In unserem Fall hier, dem “WP Statistics Plugin”, ist das etwas anders.

Es ist ein spezieller SQL Injection Angriff, ein sogenannter zeitbasierter Blind SQL Injection Angriff. Und das ist gut für David, aber dazu später mehr.

Unser Hacker erhält nämlich keine direkten Fehlermeldungen oder Daten als Antwort auf seine veränderten SQL-Befehle. Stattdessen misst er, wie lange die Website braucht, um zu reagieren. Er fügt also einen Timer an das SQL-Kommando an.

Er sagt quasi: “Wenn der Befehl nicht funktioniert, warte bitte 5 Sekunden”. Wenn die Antwort dann um 5 Sekunden verzögert wird, weiß er, dass seine Injection erfolgreich war und kann daraus schließen, dass die Bedingung wahr ist.

Mit dieser Information erkundet er nun schrittweise die Struktur der Datenbank, um später gezielt Daten stehlen zu können. Er findet z.B. heraus, wo Benutzerdaten, Zahlungsinformationen oder andere für ihn interessante Informationen gespeichert sind.

Warum das jetzt gut für David ist?

Ein solcher Angriff ist nicht gut geeignet, um große Datenmengen zu stehlen, da die Exfiltration von Informationen ein sehr langsamer Prozess und einfach nicht praktikabel ist. Das heißt aber nicht, dass unser Hacker nicht versuchen wird, an wertvolle Informationen zu gelangen.

Mit Hilfe spezieller Sicherheitstools wird er versuchen, an User-Emails, Passwort-Hashes oder sogar an die WordPress-Salts zu kommen. Dies sollte innerhalb weniger Stunden möglich sein.

Und so macht er sich direkt an die Arbeit, also nicht er, sondern sein Hacker-Tool.

Das fragt nun zum Beispiel nach Email-Adressen, Passwörtern und anderen wichtigen Informationen. Das Programm wurde speziell für solche Angriffe entwickelt und kann so über Stunden Daten abgreifen, ohne sofort aufzufallen.

Ausgang der Geschichte

Was ist mit David‘ Website passiert?

David weiß bis heute nicht, wie lange der Angriff schon andauert und welche Daten der Hacker wirklich gestohlen hat. Er hat mit einem IT-Experten gesprochen, der ihm gesagt hat, dass man vielleicht herausfinden könnte, welche Daten gestohlen oder verändert wurden. Aber das wäre sehr teuer.

David beschloss, seine Website auf Schadsoftware oder Hintertüren überprüfen zu lassen. Dann informierte er seine Kunden und vor allem seine Mitglieder über den Vorfall.

Seine Mitglieder mussten alle ihre Zugangsdaten ändern, und er riet ihnen, auch andere Passwörter zu ändern, wenn sie dem gestohlenen sehr ähnlich waren. Als Entschuldigung schenkte er allen Betroffenen einen Monat in seinem Membership-Programm.

Außerdem schloss er einen Wartungsvertrag mit einem befreundeten Webdesigner ab. Dieser überprüft seine Website nun regelmäßig auf Updates und Sicherheitslücken.

Er hofft, dass ihm so etwas nie wieder passiert.

Learnings

1) Regelmäßige Updates

Halte deinen WordPress-Core, deine Plugins und Themes auf dem neuesten Stand – je schneller, desto besser.

Viele SQL Injection-Schwachstellen werden durch veraltete Software-Versionen ausgenutzt. Updates schließen diese Sicherheitslücken und schützen so deine Website.

2) WordPress Firewall

Verwende eine Web Application Firewall – entweder als Plugin (z.B. WordFence, Firewall Ninja oder Sucuri) oder über einen externen Dienst (z.B. Cloudfare).

Eine WAF filtert bösartige Anfragen, bevor sie den Server erreichen und blockiert bekannte Angriffe. Unser Hacker wäre also mit seinen gefälschten Anfragen nicht weit gekommen.

3) Zusätzliche Sicherheits-Plugins

Ein gutes Sicherheits-Plugin kann dir zusätzlichen Schutz bieten, um deine Website vor Angriffen zu schützen.

Aktiviere auf deiner Website immer eine Zwei-Faktor-Authentifizierung. Das hilft nicht nur gegen SQL Injections.

4) Datenbankzugriffsrechte einschränken

Du kannst für deine Datenbank einen Benutzer mit minimalen Rechten einrichten. So kann selbst ein erfolgreicher SQL Injection-Angriff nur begrenzten Schaden anrichten, da der Angreifer nicht alle administrativen Funktionen nutzen kann.

5) Backups und Überwachung

Erstelle regelmäßig Backups deiner Website und Datenbank, damit du im Falle eines Angriffs alles schnell wiederherstellen kannst. Überwache auch deine Website und die Serverlogs, um ungewöhnliche Aktivitäten rechtzeitig zu erkennen.

6) WordPress härten

Wenn du noch einen Schritt weiter gehen möchtest, härte deine WordPress-Seite weiter ab. Deaktiviere zum Beispiel XML-RPC (wenn du es nicht brauchst). Schütze auch deine API oder deaktiviere sie.

Fazit

Die Geschichte von David zeigt auf einfache und eindrucksvolle Weise, wie gefährlich eine kleine Sicherheitslücke sein kann. Was als unscheinbarer Fehler in einem beliebten Plugin begann, entwickelte sich zu einem massiven Angriff, der nicht nur technische Probleme, sondern auch einen Vertrauensverlust bei den Nutzern zur Folge hatte.

Wichtig dabei: SQL und Datenbanken sind die Grundlage, auf der Websites ihre Informationen verwalten. Ein SQL Injection-Angriff nutzt Schwachstellen in der Programmierung aus, um unbemerkt in diese Datenbanken einzudringen. Sicherheitsmaßnahmen wie präparierte Statements und regelmäßige Updates sind entscheidend, um solche Angriffe zu verhindern. Für dich als Webseitenbetreiber oder Nutzer heißt das: Bleib informiert, halte deine Systeme auf dem neuesten Stand und nimm Sicherheitswarnungen ernst. Denn in der digitalen Welt kann schon ein kleiner Moment der Unachtsamkeit zum Albtraum werden. David‘ Geschichte ist ein eindringlicher Weckruf – sie zeigt, wie wichtig es ist, sich aktiv um die Sicherheit der eigenen Website zu kümmern und niemals anzunehmen, dass man vor Cyberangriffen sicher ist.

Auch wenn die technischen Details manchmal kompliziert erscheinen, ist es wichtig, die Grundlagen zu verstehen. Dann weiß man, worauf man achten muss und welche Maßnahmen wirklich helfen. Denn letztlich ist Wissen die beste Waffe gegen Cyberkriminalität.

Ein neuer Anfang für David

Nach dem verheerenden Angriff war David zunächst am Boden zerstört. Doch anstatt sich geschlagen zu geben, nutzte er diese Erfahrung, um seine Website zu überdenken und zu sichern. Mit Hilfe von IT-Sicherheitsexperten stellte er sicher, dass alle Schwachstellen geschlossen wurden – und lernte, wie wichtig es ist, Systeme regelmäßig zu überprüfen.

Heute läuft David’ Website wieder reibungslos und er hat wertvolle Erfahrungen gesammelt, die er gerne mit anderen teilt. Er erinnert sich jeden Tag daran, dass in der digitalen Welt niemand vor Angriffen sicher ist – und dass es nur eine Frage der Zeit ist, bis man selbst ins Visier von Hackern gerät, wenn man nicht aufpasst.

Die Lehren aus David’ Fall sind universell: Informiere dich: Verstehe die Grundlagen deiner Technologie, damit du weißt, was passiert. Schütze deine Daten: Nutze alle verfügbaren Sicherheitsmaßnahmen und aktualisiere deine Systeme regelmäßig. Reagiere schnell: Bei den ersten Anzeichen eines Angriffs solltest du sofort handeln und professionelle Hilfe suchen. Die Geschichte von David soll dir Mut machen – und dich gleichzeitig sensibilisieren. Denn nur wer weiß, worauf er achten muss, kann sich vor den Gefahren des Internets schützen. Lass uns gemeinsam dafür sorgen, dass deine Website nicht zum Spielball von Cyberkriminellen wird.

Abschluss

Damit sind wir am Ende unserer Geschichte angelangt.

Bleib wachsam, halte deine Systeme auf dem neuesten Stand und verliere nie aus den Augen, dass IT-Sicherheit ein kontinuierlicher Prozess ist.

Bleib wachsam, halte deine Systeme auf dem neuesten Stand und scheue dich nicht, in Sachen IT-Sicherheit in die Tiefe zu gehen.

Ich wünsche dir einen schönen Tag und hoffe, wir sehen uns nächste Woche wieder.

Deine Frida <3

Hey, ich bin Frida, dein Podcast-Host bei den Hacker-Geschichten.

Wenn du Fragen oder Anregungen hast, schreibe mir gerne eine Nachricht!

Weiterhören

Weitere Folgen

Music

Bad Era – juniorsoundays

I will take you to the moon – juniorsoundays