WordPress sicherer machen – FTP ist ein Risiko

FTP dürfte heute auch vielen technischen Laien ein Begriff sein. Das File Transfer Protocol sorgt für die Übertragung der Daten vom Rechner zum Server. Bei der Installation von WordPress kommt fast immer FTP zur Anwendung. Die Spezifikationen sind jedoch über 30 Jahre alt und stammen aus einer Zeit, als Sicherheit im Internet kein großes Thema war. Wie sicher ist FTP? 

Die Antwort ist einfach: FTP ist so unsicher, dass man sich über den Mangel an Alternativen nur wundern kann. FTP überträgt die Daten nämlich unverschlüsselt. Und zwar nicht nur die Daten, die ohnehin jeder online sehen kann, sondern auch die Zugangsdaten zum Server!

Schauen wir uns das mal genauer an mit einem Datenlogger. Ich verwende dazu Wireshark. Das Programm zeichnet alle Verbindungen auf, die in einem Netzwerk aufgebaut werden. Für den Austausch der Daten verwende ich Filezilla und habe für diesen Test eine Verbindung mit einem falschen Passwort erstellt. Die Verbindung ist als unverschlüsseltes FTP konfiguriert.

Wireshark zeigt das Passwort der unverschlüsselten FTP-Verbindung an

Wir können sehen, dass das Passwort »demo« als text/plain übertragen wird und von einem Trojaner oder Wurm aufgezeichnet werden könnte. Mit diesen Zugangsdaten könnte ein Hacker leicht die Daten auf dem Server ändern. Das Passwort ist hier willkürlich gewählt, daher sehen wir die Fehlermeldung »Login incorrect.«.

Das ist keinesfalls ein hypothetisches Szenario. Diesen Fall hatte ich schon öfter bei Kunden, bei denen der Zugriff auf den Server nicht anders zu erklären war. Was dann passieren kann, habe ich in dem Artikel WordPress sicherer machen beschrieben. Nicht selten quittiert Google den Angriff eines Hackers nach wenigen Stunden so:

Google Malware Warnung

Der Code der Seite wurde mit Malware infiziert, die von Google sehr schnell identifiziert wird. Die Seite wird geblockt und muss mühsam wieder aus der Google Blacklist entfernt werden.

Im folgenden Screenshot sehen wir das Protokoll einer sicheren Verbindung (»Explizites FTP über TLS«).

Wireshark zeigt das Passwort der verschlüsselten FTP-Verbindung an

Alle Daten werden verschlüsselt an den Server gesendet. Eine Entschlüsselung ist zwar grundsätzlich auch einem Hacker möglich. Die meisten Zugriffe erfolgen jedoch automatisiert, so dass der Angriff damit ausreichend abgewehrt wäre.

Leider sind sehr viele Server gar nicht für sicheres FTP konfiguriert. Bei der Auswahl eines Providers sollten Sie also unbedingt darauf achten, dass verschlüsseltes FTP angeboten wird. Fragen Sie vor Abschluss eines Vertrages beim Support nach, oder wechseln Sie den Anbieter, wenn sicheres FTP nicht oder nur gegen Aufpreis erhältlich ist.

2 Kommentare Schreibe einen Kommentar

  1. Ich habe jetzt die FTP Strategie insofern verbessert, als ich mich wie angeraten verhalte und eine sichere Verbindung zur Serververbindung bei meinem Filezilla einstelle. Bei einem Provider funktioniert SFTP und beim anderen Provider TLS. Ich hoffe das passt dann so.

    Was ich mich allerdings frage ist, woher weiss ein Hacker, dass ich gerade in diesem Moment einlogge? Wie wird für ihn die Verbindung sichtbar? Wie hängt er sich da dazwischen? Abgesehen von der Frage nach dem Warum. Was hat er davon?

    • In der Regel dürften Hacker über Datenlogger an das Passwort kommen Diese Software kommt als Trojanisches Pferd oder als Wurm auf den Rechner. Man sieht auf dem Screenshot oben, wie einfach die FTP Zugangsdaten zu erkennen sind. Sind diese Daten gespeichert, werden sie an den Server der Hacker gesendet und lösen dort automatisch Routinen aus. Typischerweise werden dann im Theme iFrames eingebettet, die einen Besucher auf eine andere Seite leiten.

      Im einfachsten Fall ist da nur Werbung zu finden. Es kann dort aber auch weitere Malware versteckt sein. Das Ziel ist meistens der Aufbau eines großes Netzwerkes, mit dem die Angriffe noch weiter ausgedehnt werden können.

      Bei dem letzten großen, bekannt gewordenen Fall in den USA waren so viele Server betroffen, dass die amerikanischen Behörden die infizierten Rechner nicht alle vom Netz nehmen konnten, weil ein zu großer Einbruch der Infrastruktur gedroht hätte. Man ließ also die verseuchten System am Netz, weil es letztlich das kleinere Übel war!

Schreibe einen Kommentar