SQL-injektioner

SQL-injektioner: Attacker på hjärtat av din webbplats

Förutom brute force-attacker fortsätter WordPress SQL-injektioner att dyka upp på listan över de största hoten mot WordPress-webbplatser. Dessa är relativt enkla att manipulera databasen på dina sidor. Detta gör det möjligt för hackare att komma åt känsliga data eller konfigurera administratörskonton själva och kan manipulera din webbplats när som helst. Vi visar hur attacken fungerar och varför den är så farlig.

Mars 2008: Hackare (inklusive en sann mastermind, förresten) får tag på 134 miljoner kreditkortsdata från det amerikanska företaget Heartland Payment Systems. Mitten av 2016: Misstänkta ryska hackare får tillgång till Illinois State Board of Elections databas över registrerade väljare . Något liknande händer i Arizona. Februari 2017: Data från 65 000 användarkonton stjäls från den amerikanska vapenförsäljaren Airsoft GI. Mars 2017: Påstådda kinesiska hackare får personuppgifter från 4 000 kunder i en koreansk app och skickar ibland obscena textmeddelanden till offren.

Alla dessa attacker har en sak gemensamt: bakom dem finns ett relativt enkelt hack som kallas SQL-injektion. I denna attack får hackare tillgång till databasen och därmed till alla användardata på en sida. Faktum är att SQL-injektioner därför anses vara en av de största farorna för webbplatsoperatörer. Också och speciellt för webbansvariga som främst arbetar med WordPress.

Och där senast sedan WooCommerce särskilt större och mer komplexa butiker kan enkelt drivas med WordPress, det är viktigt att förstå hur hög risken för en WordPress SQL-injektion är och hur de fungerar.

Hur "farliga" är WordPress SQL-injektioner?

Frågan om "farligheten" hos ett WordPress-hack kan inte besvaras i form av en enda indikator. Snarare måste du överväga minst två aspekter: Å ena sidan är sannolikheten med vilken ditt eget WordPress WordPress-projekt kan falla offer för en sådan attack, liksom den skada som ett hack kan orsaka.

I brute force-attacker är till exempel antalet attacker som drivs varje månad så högt (ibland över 1 miljard uppmätta attacker + orapporterad siffra) att man faktiskt kan säga att varje WordPress WordPress-projekt förr eller senare kommer att bli mål för en sådan attack. Skadorna som kan orsakas av ett framgångsrikt hack är många. I de flesta fall används brute force-attacker också för att kapa webbplatser och integrera dem i ett botnet. Skript över flera webbplatser är å andra sidan mycket mindre vanligt, men används främst för att infektera webbplatser med skadlig kod.

Den ideella organisationen Open Web Application Security Project (OWASP) publicerar regelbundet en topp 10-lista över de största säkerhetsriskerna för webbapplikationer. Och SQL-injektioner upptar permanent första plats här, också på (om än preliminär) lista för 2017.

På displayen visas en bild av topp 10-listan över de största säkerhetsriskerna för webbapplikationer, som regelbundet publiceras av den ideella organisationen OWASP. SQL-injektioner tar första plats här.
Den ideella organisationen OWASP publicerar regelbundet en topp 10-lista över de största säkerhetsriskerna för webbapplikationer. SQL-injektioner upptar regelbundet första plats här.

Faktum är att SQL-injektioner har kommit för att stanna. Hacket har varit känt i över 15 år. Och enligt Akamai State of the Internet Security Report för 2017 har frekvensen av SQL-attacker ökat med 28 procent sedan första kvartalet 2016. Under första kvartalet 2017 var SQL-injektioner de mest utförda hackarna och stod för 44 procent av attackerna. 

Så här var SQL-injektionen under första kvartalet 2017 det vanligaste hacket och stod för 44% av attackerna.
Under första kvartalet 2017 var SQL-injektionen det mest utförda hacket och stod för 44% av attackerna, enligt Akamai State of the Internet Security Report 2017.

Wordfence, tillverkare av säkerhetsprogramvara för WordPress, kommer till slutsatsen att SQL-injektioner utgör en stor fara speciellt för WordPress-användare. En analys av nästan 1 600 sårbarheter i plugins som rapporterats under en 14-månadersperiod visar tydligt att SQL-injektioner är den näst vanligaste säkerhetsrisken någonsin för WordPress-webbplatser.

Diagrammet visar tydligt att SQL-injektioner är den näst vanligaste säkerhetsrisken någonsin för WordPress-webbplatser.
Diagrammet visar att SQL-injektioner är den näst vanligaste säkerhetsrisken någonsin för WordPress-webbplatser.

Med alla dessa siffror måste du komma ihåg att antalet orapporterade fall är mycket högre - OFTA SQL-attacker märks inte alls och visas sedan inte i någon statistik.

Siffrorna visar att WordPress SQL-injektioner är bland de vanligaste typerna av attacker efter brute force-attacker och XSS-sårbarheter. Sql-injektioner riktar sig också till ett särskilt känsligt område på din webbplats: din databas. Särskilt för butiksoperatörer är dessa hack därför ett existentiellt hot. Därför är det viktigt att förstå hur de fungerar och vad du kan göra åt dem.

WordPress SQL-injektioner riktar in sig på hjärtat på din webbplats: Databasen

För att förstå hur en SQL-injektion fungerar måste du förstå hur WordPress är fundamentalt strukturerat. Om du redan vet detta kan du säkert hoppa över det här avsnittet.

Databasen är grunden för varje WordPress-installation: Allt innehåll lagras här. SJÄLVA CMS gör det sedan möjligt att visa och redigera det här innehållet. WordPress är en MySQL-databas. SQL står för Structured Query Language, ett fullfjädrad programmeringsspråk som kan användas för att skapa strukturer i en databas och för att infoga, ändra och ta bort data.

Varje gång du skriver en artikel, skapar en ny kategori, ändrar ditt lösenord eller till och med när användarna skriver en kommentar lagras dessa nya data i databasen. Så det är här varje enskild innehåll på din webbplats ligger.

WordPress hämtar alltid lämpliga data från databasen när en användare besöker din webbplats och begär visst innehåll, sammanför det med PHP och skapar ett HTML-dokument som i slutändan överförs till användarens webbläsare. Användaren är inte medveten om alla processer som sker tills dess.

SQL-injektioner injicerar extern kod i databasen

Även om du aldrig agerar direkt med databasen, men bara med WordPress-backend: Databasen är hjärtat på din webbplats.

Men som sagt: Användare kan också ange data i databasen. Skriv en kommentar, skapa ett användarkonto, fyll i ett kontaktformulär och skicka det – alla dessa åtgärder genererar data som lagras i databasen.

Men vad händer om någon använder den här indirekta åtkomsten till databasen för att smuggla skadlig kod till databasen? Detta kallas en SQL-injektion.

Idén bakom det är inte ens särskilt komplicerad: om det inte finns några säkerhetsåtgärder behöver hackaren bara ange SQL-kod i ett formulärfält (t.B. när man skriver en kommentar). Den innehåller till exempel tecken som har en speciell funktion för SQL-tolken, som ansvarar för att köra SQL-kommandon i databasen. Sådana specialtecken, som kallas metatecken, är till exempel; " ' och \.

CMS anser att detta är ofarliga data och skickar indata som vanligt till databasen med ordern att spara den. SQL-tolken känner igen koden från metakaraktörerna som en åtgärdsordning och kör databaskommandot.

Förresten gäller detsamma för SQL-injektioner som för brute force-attacker: En hackare sitter nästan aldrig ensam vid datorn och anger manuellt koder i formulär. Dessa attacker sker också via automatiserade botnät som skannar tusentals webbplatser samtidigt för sårbarheter och slår där de upptäcker en.

Vad kan hända nu?

  • Hackaren kringgår alla autentiseringsmekanismer eller gömmer sig bakom en befintlig användares identitet för att få åtkomst. Om en hackare till exempel skapar ett nytt administratörs konto kallas detta också för en Priviledge Escalation Exploit.
  • På detta sätt kan han spionera, ändra eller ta bort data. Detta är särskilt viktigt om du driver en onlinebutik och har dina kunders betalningsuppgifter.
  • Han kan ta kontroll över hela din webbplats och webbutrymme, till exempel genom att logga in själv som administratör och därmed få tillgång till din backend. Således har en hackare full kontroll över din webbplats och kan missbruka den som en spam slangbella, införa skadlig kod eller infoga den i ett botnet.

Slutsats: WordPress SQL-injektioner är mycket farliga just på grund av automatisering

WordPress SQL-injektioner är bland de farligaste hackarna någonsin. De är lätta att utföra, vanligtvis automatiserade och kan orsaka enorma skador: Särskilt för butiksoperatörer är risken för SQL-injektioner existentiell.

Därför är det viktigt att skydda din webbplats i enlighet därmed: Användarinmatning måste kontrolleras och rengöras. Du bör också maskera data för att förhindra att skadlig kod körs. Denna process kallas datasanering och validering och behandlas i detalj i WordPress Codex , till exempel. I en av följande artiklar kommer vi dock att gå in mer i detalj om ämnet och visa dig hur du kan förhindra att skadlig kod blir aktiv i din databas.

I grund och botten hjälper omfattande säkerhetsplugins också här: Eftersom de är särskilt kapabla att blockera automatiserade attacker på dina sidor, vilket är grunden för många hack.

Tyckte du om artikeln?

Med din recension hjälper du oss att förbättra vårt innehåll ytterligare.

Skriva en kommentar

Din e-postadress kommer inte att publiceras.