„Website Security Vulnerability Notification“ – was steckt hinter den OpenBugBounty Meldungen per Email?


„Website Security Vulnerability Notification“ – was steckt hinter den OpenBugBounty Meldungen per Email? – Viele WordPress Nutzer berichten davon, dass in den letzten Wochen und Tagen immer mal wieder eine E-Mail von der Webseite openbugbounty.org eingetroffen ist, in der vor Sicherheitsproblemen auf der eigenen Webseite gewarnt wurde. Teilweise werden dabei konkrete Sicherheitslücken genannt, oft sind es aber nur allgemeine Beschreibungen von Sicherheitsproblemen, ohne das eine Lücke im Detail angeben wird.

Webseitenbetreiber sind dann oft verunsichert. Gibt es wirklich Sicherheitsprobleme auf der Webseite oder ist das nur Scareware und Meldungen um Geld zu verdienen? Daher habe ich hier ein paar Details und Hintergründe zu dieser Plattform zusammengestellt.

Was steckt hinter OpenBugBounty?

Prinzipiell ist die Webseite openbugbounty.org eine Plattform, auf der Sicherheitsexperten Fehler, Bugs und Sicherheitsproblemen auf Webseiten melden können. Die Seite selbst stellt also keine Meldungen zur Verfügung, sondern die Nutzer auf der einen Seite können Webseiten auf der anderen Seite warnen.

Allerdings prüft die Seite die Angaben. Eine Meldung wird daher nur erstellt, wenn auch wirklich ein Problem auf der Webseite vorliegt und sich dieses Problem auch replizieren lässt. Wenn man eine Mail von dem Service bekommt, ist also wirklich etwas mit der eigenen Webseite im Argen.

Ist OpenBugBounty Scareware?

Mittlerweile nutzen viele „Sicherheitsexperten“ die Webseite aber auch, um bekannte Probleme massenhaft zu melden und dann nur gegen Bezahlung die Lücken zu verraten. Das ist inzwischen immer häufiger der Fall.

Das Problem: nicht immer sind solche Meldungen auch wirklich schwerwiegende Probleme. Einige Meldungen kann man oft auch ignorieren, weil WordPress damit normal arbeitet und sie kein Sicherheitsproblem darstellen. Das sind beispielsweise:

  1. Probleme mit der jQuery-Version – das sind oft ältere Versionen dieser Datei, die aber kein Sicherheitsheitsproblem darstellen. WordPress verwendet auch bei älteren jQuerys jeweils die sicherste Variante. Es kann aber zumindest nicht schaden, Theme, Core und Plugins auf den neusten Stand zu bringen und zu schauen, ob dann auch gleich eine neuer jQuery Version mitgeliefert wird.
  2. XMLRPC ist von außen erreichbar – WordPress sichert diese Schnittstelle ab, daher ist es kein Problem wenn darauf zugegriffen werden kann, einige WP Funktionen müssen sogar darauf zugreifen können.
  3. wp-json ist von außen erreichbar – Hier gilt das Gleiche wie bei der XMLRPC Schnittstelle. Auch dies ist in dem Fall kein Sicherheitsproblem, sondern teilweise wichtig für den Betrieb der Seite.
  4. Security Headers sind nicht gesetzt – Mit Security Headers kann man tatsächlich die Sicherheit erhöhen, in dem man Anweisungen mitschickt, wie sich eine Browser verhalten soll. Für WordPress ist das aber in den meisten Fällen komplett unnötig, da solche Header in der Regel nur in extrem selten Fällen wirklich Probleme verhindern.
  5. DMARC (Domain-based Message Authentication, Reporting and Conformance) nicht gesetzt – DMARC Einträge sollen die Sicherheit von Mails erhöhen, sie können sinnvoll sein, oft aber auch nicht. Daher sind sie für die meisten Webseiten kein direktes Sicherheitsproblem.
  6. Bei Access Control Meldungen wird oft nur angemerkt, dass der Admin Nutzer frei zugänglich ist. Das kann, muss aber ein Problem sein. Teilweise sind hier aber auch andere Probleme zu finden – es lohnt sich daher bei dieser Meldung genauer hinzuschauen.

Bei diesen Problemen muss man also nicht unbedingt aktiv werden. Es gibt aber auch Meldungen von openbugbounty, da sollte man unbedingt handeln. Das sind sowohl XSS Lücken als auch Remote Code Execuition Probleme. Dann können Dritte eigenen Code auf der Webseite ausführen und das kann dazu führen, dass die WP Installation kompromittiert wird.

Generell: Meldungen von OpenBugBounty sind kein Spam, sondern können auf Probleme auf der Webseite hindeuten. In vielen Fällen muss man aber nicht aktiv werden, nur selten besteht wirklich Gefahr für die eigene Webseite.

Sicherheit für WordPress

Es gibt mittlerweile viele Sicherheitstipps für WordPress und in der Regel sollte man keine Meldungen von OpenBugBounty erhalten, wenn man jeweils aktuelle Versionen des WP Core, des Themes und auch der Plugins nutzt.

Falls doch eine Mail angekommen sein sollte, lohnt es sich auf jeden Fall, genauer hinzuschauen und im Zweifel auch einen Experten darüber blicken zu lassen. Es kann ein Problem mit der Webseite sein – in den meisten Fällen ist es das aber nicht.

Hilfreiche Sicherheitstipps gibt es hier:

VN:F [1.9.22_1171]
Bewertung: 0.0/10 (0 Bewertungen abgegeben)

Kommentar hinterlassen on "„Website Security Vulnerability Notification“ – was steckt hinter den OpenBugBounty Meldungen per Email?"

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*