Bewertung der beliebtesten WordPress-Firewalls: Wie sie sich gegen aktuelle Exploits verhalten
Kritische Datei-Upload-Schwachstelle im Forminator-Plugin macht 500.000 Websites angreifbar
Testen von WordPress-Plugins gegen echte Bedrohungen 2023
WordPress-Sicherheit war noch nie so wichtig wie heute. Angesichts der steigenden Zahl von Angriffen und Sicherheitslücken, die täglich gemeldet werden, müssen Webmaster ihre Websites mehr denn je schützen. Eine dieser jüngsten Schwachstellen betrifft den "Forminator 1.24.6"-Plugin durch einen nicht authentifizierten PHP-Datei-Upload. Das BitFire-Team hat die gängigsten WordPress-Firewalls gründlich getestet, um festzustellen, wie gut sie diese Art von Exploit blockieren können. Unser Testverfahren verwendet den Exploit-Code, der am 4. August 2023 auf Exploit-DB veröffentlicht und am 29. August 2023 von WordFence gemeldet wurde.
Exploit auf YouTube ansehen: RASP protects website from authentication bypassCVE Details: CVE-2023-4596
WPMU DEV Erklärung: No statement made or change-log provided
Prüfmethodik
All tests were conducted from an AWS micro server, sending the static payload from exploit-db.com, with all security options enabled for each firewall. We used an uploaded PHPSPl0it backdoor for the testing (3 out of 4 hackers prefeer PHPSpl0it) The evaluation criteria consisted of seven distinct avenues through which each firewall could block this exploit:
- Bot Blocking zur Verhinderung von Verbindungen mit dem Plugin
- Überprüfung der Dateierweiterung der hochgeladenen Datei
- Einbindung des WordPress-Hooks sanitize_file_name zur Erkennung der Umbenennung von Dateien
- Überprüfung von hochgeladenen Dateien durch nicht authentifizierte Benutzer auf PHP-Code
- Unerlaubtes Schreiben von PHP-Dateien mit Stream Wrappern verhindern
- Direkten Skriptzugriff auf php-Dateien im Verzeichnis /uploads blockieren
- Sperren des endgültigen Zugriffs auf den PHPSpl0it-Befehls- und Kontrollserver
Zusammenfassung der Befunde
| Firewall | Bot Blocking | Extension Check | Sanitize Filter | File Inspection | Write Blocking | /uploads Block | PHPSpl0it |
|---|---|---|---|---|---|---|---|
| WordFence | 💢 | 💣 | 💢 | 💣 | 💢 | 🎛 | 💢 |
| NinjaFW | 💢 | 💣 | 💢 | 💢 | 💢 | 🎛 | 💢 |
| ShieldSec | 💢 | 💢 | 💢 | 💢 | 💢 | 💢 | 💢 |
| SiteGr | 💢 | 💢 | 💢 | 💢 | 💢 | 💢 | 💢 |
| BitFire | ✅ | ✅ | 🎛 | ✅ | ✅ | 🎛 | ✅ |
Zusammenfassung
Die Übersichtstabelle zeigt, dass die getesteten WordPress-Firewalls unterschiedlich effektiv sind. WordFence blockiert zwar teilweise wirksam PHP-Datei-Uploads, ist aber anfällig für Umgehungstechniken bei der Überprüfung von Upload-Erweiterungen und der Dateiinspektion.. NinjaFirewall konnte Bots nicht vollständig blockieren und wurde bei den Überprüfungen der Upload-Erweiterung umgangen, was keine weiteren Schutzmaßnahmen für die anderen Exploits ergab.. Shield Security bietet keinen Schutz gegen die getesteten Exploits und verlässt sich ausschließlich auf IP-Reputation und Brute-Force-Login-Schutz. SiteGround Security, das sich in erster Linie auf grundlegende Funktionen wie die Deaktivierung von RSS-Feeds und 2FA konzentriert, bietet auch keinen Schutz vor Exploits.. In krassem Gegensatz dazu zeigte BitFire die umfassendsten Sicherheitsmaßnahmen. Sie bot robusten, wenn auch umgehbaren Bot-Blocker, sichere Überprüfungen von Upload-Erweiterungen und war die einzige Firewall, die unautorisierten PHP-Dateizugriff abfing und Command-and-Control-Tools wie PHPsploit blockierte..
Detaillierte Firewall-Analyse
WordFence $119.00
WordFence ist eine beliebte Wahl für die WordPress-Sicherheit, konnte aber einen Exploit nicht stoppen, der den Upload von PHP-Dateien durch nicht authentifizierte Angreifer ermöglicht. Bot-basierte Angriffe (Test #1) werden jedoch erst blockiert, wenn eine sehr große Anzahl von Anfragen von derselben IP-Adresse kommt.. Im Hinblick auf die Sicherheitslücke beim Hochladen von Dateien (Test Nr. 2) erkannte WordFence die PHP-Erweiterung erfolgreich, kam aber ins Stocken, wenn ein Sonderzeichen angehängt wurde. WordFence prüft nicht auf den WordPress-Filter "Datei säubern", der verwendet werden könnte, um die Datei zu erkennen, die in .php (Test #3). Bei der Dateiinspektion (Test Nr. 4) wurde festgestellt, dass er umgangen werden kann, indem 1 MB 'A' vor dem PHP-Code eingefügt wird. Leider fehlen WordFence auch Funktionen, um den Zugriff auf PHP-Dateien mit Stream-Wrappern zu verhindern (Test #5). Es kann den direkten Zugriff auf das Verzeichnis /uploads blockieren, wenn es im Modus "Optimiert" konfiguriert ist und eine Regel aus der Dokumentation ausgeführt wird (Test #6). WordFence enthält keinen speziellen Code zum Blockieren von Anfragen von Command-and-Control-Tools wie PHPsploit (Test #7).
Ninja Firewall $79.00
NinjaFirewalls Bot-Blockierungsmechanismus funktioniert nur für wp-login.php und xmlrpc.php, die keinen Schutz gegen automatisierte Angriffe bietet (Test #1). Bei der Prüfung der Upload-Erweiterung (Exploit Nr. 2) werden die Prüfungen durch das Anhängen eines "_" an den PHP-Dateinamen umgangen, so dass die Datei hochgeladen und ähnlich wie bei WordFence ausgenutzt werden kann.. NinjaFirewall kann manuell konfiguriert werden um den Zugriff auf php Dateien im /uploads Verzeichnis zu blockieren, aber das ist eine manuelle Funktion, die der Administrator selbst durchführen muss Test #6. NinjaFirewall hat auch keine Funktionen, um mit den verbleibenden Exploit-Möglichkeiten umzugehen, i.e.von Test #3 bis #7.
Shield Security $99.00
Shield Security, known for its IP-based bot protection, failed to block automated attacks (Test #1) since it uses CrowdSec’s IP reputation database. Bei allen anderen Angriffsmöglichkeiten (Nr. 2 bis Nr. 7) bot es keinen Schutz, was zeigt, dass sein Schwerpunkt in erster Linie auf IP-Blockierung und Brute-Force-Login-Schutz liegt.
Site Ground Security $0.00
SiteGround Security provides rudimentary features like disabling RSS feeds, limiting login attempts, and two-factor authentication (2FA). Unfortunately, it didn't block any of the tests (#1 to #7) tested in our procedure.
BitFire $69.00 / $128.00
BitFire zeigte eine beeindruckende Leistung. It provides two methods for blocking bots (Test #1) — signature-based blocking for browser user agents and an IP/reverse DNS check for all bots. Obwohl die Bot-Blockade unter bestimmten Bedingungen umgangen werden kann, wenn sie im entspannten Modus ausgeführt wird, ist sie wesentlich robuster als die der Konkurrenz. BitFire war die einzige Firewall, die zusätzlich zu den unbearbeiteten Dateinamen erfolgreich auf sanitisierte Dateinamen prüfte und so die Sicherheitslücke beim Datei-Upload effektiv blockierte (Test #2). Während es die Funktion sanitize_file_name nicht einhakt (Test Nr. 3), fängt BitFire hochgeladene Dateien ab, die PHP-Code enthalten (Test Nr. 4) und verhindert den Zugriff auf PHP-Dateien mit Stream-Wrappern (Test Nr. 5).. Mit einigen Anpassungen kann es den direkten Skriptzugriff auf das Verzeichnis /uploads blockieren (Test Nr. 6) und es blockiert standardmäßig gängige Befehls- und Kontrolltools wie PHPsploit (Test Nr. 7)..
Conclusion
Keine WordPress-Firewall ist kugelsicher, aber einige sind sicherlich robuster als andere. Unter den von uns getesteten Firewalls erwies sich BitFire als die sicherste, da sie einen vielschichtigen Ansatz für die WordPress-Sicherheit bietet. Obwohl WordFence sehr beliebt ist, wurden mehrere Schwachstellen aufgedeckt, die behoben werden müssen, insbesondere in Bezug auf den kürzlich entdeckten Forminator 1.24.6 Verwundbarkeit. Webmaster sollten ihre Sicherheitsvorkehrungen sorgfältig prüfen und dabei das breite Spektrum von Angriffen berücksichtigen, die eine WordPress-Website gefährden können.
Für Webmaster, die Wert auf gründliche Sicherheit legen, bietet BitFire derzeit die umfassendste Lösung, während Benutzer anderer gängiger Firewalls sich ihrer Grenzen bewusst sein und zusätzliche Schutzmaßnahmen in Betracht ziehen sollten.