Bei der Untersuchung einer manipulierten WordPress-Website ist Sucuri, eine Website-Security-Plattform, auf eine hochentwickelte Kreditkarten-Skimmer-Malware (Credit Card Skimmer) gestoßen. Diese Kreditkarten-Skimmer-Malware, die es auf WordPress-Websites abgesehen hat, schleust heimlich bösartiges, verschleiertes JavaScript in Datenbankeinträge ein, um vertrauliche Zahlungsdaten zu stehlen. Die Malware wird gezielt auf Checkout-Seiten aktiviert, indem sie entweder vorhandene Zahlungsfelder kapert oder ein gefälschtes Kreditkartenformular einschleust. Sie entgeht sie der Erkennung durch gängige Datei-Scan-Tools. Dadurch kann sie unbemerkt auf kompromittierten WordPress-Seiten bestehen bleiben. 

Der JavaScript-Code wird erst aktiv, wenn ein Website-Besucher einer infizierten Seite seine Zahlungsdaten eingeben möchte. Es wird ein dynamischer, gefälschter Zahlungsbildschirm erstellt, der legitime Zahlungsabwickler, wie z.B. Stripe, nachahmt. Das betrügerische Formular erfasst Kreditkartennummern, Ablaufdaten, CVV-Nummern und Rechnungsinformationen der Benutzer. Alternativ ist das betrügerische Skript auch in der Lage, auf legitimen Zahlungsbildschirmen eingegebene Daten in Echtzeit zu erfassen.

Die gestohlenen Daten werden mit Base64-kodiert und anschließend AES-CBC-verschlüsselt, um sie harmlos erscheinen zu lassen und Analyseversuchen und Malware-Scannern zu widerstehen. Im letzten Schritt erfolgt die Übermittlung der kompromittierten Daten an einen vom Angreifer kontrollierten Server.

So schützt du deine WordPress eCommerce-Website vor bösartigem JavaScript (Malware) und Kreditkarten-Skimmern

1. WordPress, Themes und Plugins auf dem neuesten Stand halten

• Regelmäßige Updates: Stelle sicher, dass der WordPress-Core, Themes und Plugins immer auf dem neuesten Stand sind. Viele Angriffe nutzen Schwachstellen in veralteter Software aus. Aktiviere automatische Updates, wenn möglich.
• Unbenutzte Themes und Plugins entfernen: Lösche unbenutzte Themes oder Plugins, da nicht verwendeter Code die Angriffsfläche erhöht.

2. Web Application Firewall (WAF) einsetzen

• Installiere eine Web Application Firewall: Verwende eine vertrauenswürdige WAF wie Sucuri oder Wordfence. Diese können viele Angriffsarten blockieren, einschließlich Script-Injektionen, indem sie den schadhaften Traffic blockieren, bevor er deine Website erreicht.
• Blockiere bösartige IPs: Firewalls können IP-Adressen blockieren, die zu Botnets gehören oder versuchen, deine Website auszunutzen.

3. Sichere Zahlungsmethoden verwenden

• Verwende vertrauenswürdige, PCI-konforme Zahlungsmethoden: Statt sensible Zahlungsdaten direkt zu verarbeiten, nutze bekannte und vertrauenswürdige Zahlungsanbieter.
• Tokenisierung: Setze auf Tokenisierung von Zahlungsdaten, sodass keine echten Kreditkarteninformationen auf deiner Seite gespeichert werden.

4. WordPress-Datenbank absichern

• Ändere den Standard-Datenbankpräfix: Standardmäßig verwendet WordPress den Präfix wp_ für die Datenbanktabellen. Ändere diesen in einen einzigartigen Präfix, um die Chancen einer SQL-Injection zu verringern.
• Direkten Datenbankzugriff verhindern: Stelle sicher, dass die Datenbank nicht direkt über das Internet zugänglich ist. Der Zugriff sollte nur von vertrauenswürdigen IP-Adressen erlaubt werden.
• Datenbankverschlüsselung verwenden: Verschlüssele sensible Daten in der Datenbank, sodass Angreifer die Daten auch bei Zugriff nicht lesen können.

5. Code-Scanning und Malware-Erkennung hinzufügen

• Malware-Scanning-Plugins installieren: Verwende Sicherheits-Plugins wie Wordfence, Sucuri Security oder MalCare, die nach schadhafter Software in Dateien, Datenbanken und Themes suchen. Diese Tools können auch verdächtigen Code erkennen, wie z.B. Malware, die in die wp_options-Tabelle eingefügt wird.
• Regelmäßige Site-Scans: Plane regelmäßige Sicherheits-Scans, um schadhafter Code oder unbefugte Änderungen zu identifizieren. Wenn möglich, verwende eine Sandbox-Umgebung, um Updates und neue Funktionen zu testen, bevor sie auf der Live-Site bereitgestellt werden.

6. WordPress-Sicherheit erhöhen

• Dateibearbeitung deaktivieren: Verhindere, dass Angreifer Dateien über das WordPress-Dashboard bearbeiten, indem du diese Zeile in deiner wp-config.php hinzufügst: define( 'DISALLOW_FILE_EDIT', true );
Richtige Datei- und Ordnerschutzberechtigungen setzen: Stelle sicher, dass deine Datei- und Ordnerschutzberechtigungen korrekt gesetzt sind.
• Wichtige Dateien schützen: Stelle sicher, dass Dateien wie wp-config.php, .htaccess und andere korrekt abgesichert sind, und sperre den Zugriff darauf, indem du deine Serverkonfiguration anpasst.
• Sicherheits-Schlüssel verwenden: Achte darauf, dass deine WordPress-Sicherheits-Schlüssel (in wp-config.php) auf zufällige Werte gesetzt sind. Diese Schlüssel helfen, Brute-Force-Angriffe und Sitzungs-Hijacking zu verhindern.

7. Zwei-Faktor-Authentifizierung (2FA) einführen

• 2FA für Admin-Zugriff verwenden: Aktiviere zwei-Faktor-Authentifizierung (2FA) für Admin-Benutzer. Dies bietet eine zusätzliche Sicherheitsstufe, da neben dem Passwort ein zusätzlicher Authentifizierungscode erforderlich ist.

8. Benutzeraktivitäten überwachen

• Aktivitäts-Logs: Implementiere ein Aktivitäts-Log, um alle Benutzeraktivitäten zu überwachen und zu verfolgen, einschließlich Änderungen an kritischen Dateien wie der wp_options-Tabelle und wp-config.php.
• Benachrichtigungen einrichten: Stelle Benachrichtigungen ein, die dich auf verdächtige Aktivitäten hinweisen, wie z.B. Änderungen an wichtigen Dateien oder unbefugte Anmeldungen.

9. Regelmäßige Backups erstellen

• Automatisierte Backups: Erstelle regelmäßig Backups deiner Website, einschließlich der Datenbank, sodass du im Falle eines Angriffs auf eine sichere Version zurückgreifen kannst.
• Offsite-Backups: Speichere Backups an einem sicheren, externen Ort (z.B. in der Cloud), damit sie im Falle einer Kompromittierung sicher sind.

10. Checkout-Seite sichern

• HTTPS (SSL) sicherstellen: Deine Seite muss über HTTPS (SSL/TLS) laufen, um sensible Daten während der Übertragung zu verschlüsseln.
• Eingabefelder für Zahlungen einschränken: Stelle sicher, dass die Zahlungsfelder ordnungsgemäß validiert werden, um zu verhindern, dass unbefugte Daten in deine Formulare injiziert werden.
• Externe Checkout-Dienste verwenden: Es ist eine bewährte Praxis, keine Kreditkarteninformationen direkt auf deiner WordPress-Seite zu speichern oder zu verarbeiten. Verlasse dich auf sichere Drittanbieter-Zahlungsabwickler wie Stripe, PayPal usw.

11. Sicherheits-Header und Konfiguration

• HTTP-Sicherheits-Header verwenden: Füge Header wie Content-Security-Policy (CSP), X-Content-Type-Options und X-Frame-Options hinzu, um schadhafter Inhalte und Angriffe wie Cross-Site-Scripting (XSS) zu verhindern.
• Verzeichnisauflistungen deaktivieren: Stelle sicher, dass Verzeichnisauflistungen auf deinem Webserver durch Hinzufügen dieser Zeile zu deiner .htaccess-Datei deaktiviert werden: Options -Indexes

12. Themes und Plugins prüfen

• Verwende vertrauenswürdige Plugins: Nutze nur Plugins und Themes aus vertrauenswürdigen Quellen wie dem WordPress Plugin Repository oder renommierten Drittanbietern.
• Code überprüfen: Wenn du benutzerdefinierte Plugins oder Themes verwendest, überprüfe den Code, um sicherzustellen, dass keine unnötigen Sicherheitslücken bestehen, insbesondere in Bereichen, die mit Zahlungsabwicklungen oder Benutzerdaten zu tun haben.
• Unbenutzte Plugins entfernen: Deaktiviere und lösche Plugins, die nicht verwendet werden, da sie einen potenziellen Zugangspunkt für Angreifer darstellen können.

Die Absicherung deiner WordPress eCommerce-Website gegen Kreditkartenskimming und andere Malware-Angriffe erfordert einen mehrstufigen Sicherheitsansatz. Mit der Umsetzung dieser Sicherheitsbest Practices kannst du das Risiko von Kreditkartenskimming und anderen Malware-Angriffen auf deiner WordPress eCommerce-Website erheblich reduzieren.

Wenn du Unterstützung bei der Absicherung deiner WordPress eCommerce-Website brauchst, freuen wir uns auf deinen Anruf unter der Tel. +49 4762 363 95 55 oder eine E-Mail an hallo@teufelswerk.net von dir.