Passwort Manager selbst hosten Bild © DALL-EPasswort Manager selbst hosten (Bild © DALL-E)

Darum sind CMS beliebte Angriffsziele

Derzeit existieren auf der Welt ungefähr 1,2 Milliarden Websites. Davon sind zwar nur 16 Prozent - oder 200 Millionen - wirklich aktiv. Allerdings kommen jede Stunde gut 10.000 neue hinzu. Content-Management-Systeme sind für eine extrem hohe Zahl aller aktiven und inaktiven Sites die zentralen Schnittstellen für alles, was mit der Erstellung und Verwaltung von deren Inhalten zu tun hat.

Um das an zwei Zahlen zu demonstrieren: 43,4% oder 564 Mio.

davon laufen allein über WordPress. Damit ist das Tool zwar das bedeutendste CMS der Branche, aber es hat „nur" einen Marktanteil von rund 60 Prozent. Rechnet man noch die zahlreichen anderen relevanten Systeme von Shopify über Joomla bis Duda hinzu, lässt sich mit guter Gewissheit schätzen, dass etwa 70 Prozent aller global existierenden Sites auf irgendein CMS vertrauen. An diesem Punkt kommen zahlreiche „Reize" für Cyberkriminelle zusammen:

  • Extreme Anzahl und Vielfalt von Zielen zwischen privatem Blogger und Großunternehmen.
  • Hohe Vielfalt an Plugins, Themes und Erweiterungen und dadurch multiple Schwachstellen.
  • Attraktive Angriffsziele, weil der Weg über ein CMS Zugang zu Datenbanken, Benutzer-Informationen, Zahlungsdaten usw. bietet.
  • Weiter vergrößertes Angriffspotenzial, indem CMS aufgrund vernetzter Systeme zum Sprungbrett für andere Attacken werden können.

Last, but not least, sorgt die große Anzahl für einen weiteren sicherheitsrelevanten Effekt: Eine enorme Vielfalt von Betreibern und damit Kompetenzen in Sachen Updates und Sicherheitskonfigurationen. Ein sehr sicher konfiguriertes CMS kann ein äußerst widerstandsfähiges Angriffsziel sein. Wenn aber der dahinterstehende Mensch beim Thema IT-Security wenig bewandert oder einfach nachlässig ist, kann dasselbe CMS ein weit geöffnetes Einfallstor für Cyberangriffe werden.

  • Wie immer gilt daher: Der Faktor Mensch ist das mit Abstand wichtigste Sicherheitselement bei allen Bedrohungen, um die es im Folgenden gehen soll.

Phishing via CMS

  • Überblick: Kriminelle nutzen manipulierte CMS- Installationen oder Plugins, um damit Fake- Login-Sites einzuschleusen.
  • Ziel: Zugangsdaten von Besuchern und/oder Admins abfangen, um damit weitere Taten zu begehen.
  • Folgen: Account-Missbrauch, Image-Schäden für den Betreiber, Blacklisting durch Suchmaschinen mit allen weiteren Folgen.
  • Schutz: Installations-Monitoring, Security Plugins, regelmäßige Dateiprüfungen.

Bei CMS ist Phishing häufig ein Resultat von zu geringer Aufmerksamkeit bei Installation oder Updates. Lücken können zudem bei veralteten Versionen entstehen, sowie bei Themes, Plugins und anderen Features, die nicht mit einem bewussten Fokus auf Sicherheitsaspekte entwickelt wurden. Dabei sei betont, dass ein kritischer Blick grundsätzlich eine der wichtigsten Maßnahmen ist, um Sicherheitslücken bei WordPress zu vermeiden. Das gilt ebenso für andere CMS.

Und noch immer gilt die Prämisse: Fast immer trägt der Faktor Mensch zumindest zum Teil zu einem Sicherheitsrisiko bei.

Malware- und Backdoor-Installationen

  • Überblick: Die Täter schleusen Schadcodes über bekannte oder neu entdeckte Schwachstellen in Plugins oder Themes ein.
  • Ziel: In der Regel dauerhafter, unbemerkter Zugang zum Server, häufig für eine Nutzung als Teil eines Spam- oder Botnetzes.
  • Folgen: Erhöhte Serverlast mit allen Folgen, unkontrollierte Datenabflüsse, Reputationsverluste bei Aufdeckung.
  • Schutz: Kritisches Prüfen potenzieller Plugins und Themes, regelmäßige Updates, Verwenden von Integrity-Scannern und engmaschiges Logging.

Backdoors sind so gefährlich, weil sie den Tätern viele Optionen lassen. Aufgrund eines dauerhaften Zugangs bieten Backoors breite Optionen für Angriffe. Nicht selten werden derartige Hintertürzugänge sogar im Darknet weiterverkauft.

SQL-Injections und Datenlecks

  • Überblick: Direkte Datenbankzugriffe aufgrund unsicherer Formulare oder schlecht programmierter Erweiterungen.
  • Ziel: Auslesen oder Manipulieren von Daten, Erzeugen neuer Admin-Konten mit unterschiedlichsten weiteren Zielen.
  • Folgen: Datenverlust, DSGVO-Bußgelder, Imageschaden.
  • Schutz: Prepared Statements, WAF (Web Application Firewall), regelmäßige Penetrationstests.

Wenn Datenbanken offengelegt werden, kann der Schaden oft verheerend sein. Denn SQL-Injections erlauben Angreifern nicht nur das Auslesen, sondern auch das Manipulieren oder Löschen von Inhalten, von Kundenkontakten bis zu ganzen Produktkatalogen.

Besonders kritisch:

Über manipulierte Daten lassen sich später auch Logik-Fehler provozieren (z.B. Preisänderungen, freigeschaltete Konten), die das Geschäft direkt schädigen.

Ransomware-Attacken

  • Überblick: Angreifer verschlüsseln Webserver-Dateien oder Datenbanken über CMS-Einstiegspunkte.
  • Ziel: Erpressung des Betreibers durch Lösegeldforderungen.
  • Folgen: Totalausfall der Website, Datenverlust, finanzielle Schäden.
  • Schutz: Offsite-Backups, Zugriffsbeschränkungen, Netzwerksegmentierung.

Ransomware ist mehr als nur Verschlüsselung:

Angreifer nutzen CMS-Zugänge oft, um erst Backups zu löschen oder zu verschlüsseln und dann Lösegeld zu fordern, das macht eine Wiederherstellung mitunter unmöglich. Zudem kann die Erpressung durch Datendiebstahl und Verschlüsselung verdoppelt werden, was den Druck erhöht.

Daher sind getrennte Offsite-Backups und Reaktionspläne weit wichtiger als nur Anti-Malware-Software.

Supply-Chain-Angriffe

  • Überblick: Manipulierte Updates oder übernommene Entwickler-Accounts bringen Schadcode in eigentlich vertrauenswürdige Komponenten.
  • Ziel: Breite Infektion über offizielle Quellen, maximaler Impact.
  • Folgen: Massiver Vertrauensverlust, kaskadierende Effekte durch unkontrollierbare weitere Infektionen.
  • Schutz: Ausschließliches Verwenden etablierter Quellen, Beachten von Community-Warnungen, akribisches Code-Review bei kritischen Elementen.

Bei Supply-Chain-Attacken ist die riesige Reichweite das größte Problem:

Ein kompromittiertes Plugin oder ein manipuliertes Theme kann tausende Sites gleichzeitig infizieren. Das verschiebt eine Einzelfall-Infektion in eine Massenkampagne.

Besonders tückisch sind Updates:

Betreiber vertrauen offiziellen Quellen und installieren Updates automatisch. Deshalb sollte Vertrauen durch Kontrolle ergänzt werden, z.B. durch Monitoring von Update-Inhalten oder zentrale Prüfprozesse bei kritischen Komponenten.

Passwort Manager Bitwarden AppPasswort Manager Bitwarden App (Bild © PCMasters.de)

Social Engineering

  • Überblick: Auf den User, nicht die Technik, zugeschnittene Angriffe.
  • Ziel: Zugang zu Admin-Accounts, da diese meist das einfachste und wirksamste Einfallstor darstellen.
  • Folgen: Vollständige Übernahme der Seite und ggf. weiterer damit verknüpfter Systeme, Datenmissbrauch.
  • Schutz: Starke Passwörter, grundsätzliche Zwei-Faktor-Authentifizierung (2FA), rollenbasierte Rechte, Passwortmanager.

Die menschliche Komponente bleibt für viele Kriminelle der Königsweg. Denn selbst die beste technische Absicherung ist wirkungslos, wenn Admin-Accounts mit einfachen oder mehrfach verwendeten Passwörtern geschützt sind.

Angreifer kombinieren hier Phishing, Credential-Stuffing und gezielte Social-Engineering-Attacken, um an 2FA-Backup-Codes oder Passwort-Resets zu kommen. Deshalb sind Passwortmanager, 2FA (keinesfalls via SMS oder E-Mail) und Awareness-Training für alle Admins Pflicht. Diese Maßnahmen werden ergänzt durch ein konsequentes Rechte-Management, damit nicht jeder Berechtigte Admin-Rechte besitzt.

Von Phishing bis Ransomware GRAFIK 6Von Phishing bis Ransomware GRAFIK 6 (Bild © Eigene)

Definitiv ist Vorbereitung ein wichtiges Werkzeug:

Da keine Sicherheitslösung völlig unüberwindbar ist, können erprobte Notfallpläne Schäden und Wiederherstellungszeiten deutlich stärker reduzieren als jede technische Lösung.