WordPress-Plugins: Backdoors und Sicherheitslücken

WordPress ist die letzten Tage mal wieder mit Sicherheitslücken in Plugins aufgefallen. Zudem gibt es ein Plug-in, welches eine Backdoor in WordPress einrichtet. Zudem gibt es einige Infos zu End-Point-Firewalls für WordPress und zur Frage, ob sich eine Cyber-Versicherung lohnt.


Anzeige

Ich bekomme diese Informationen von WordFence zur Verfügung gestellt, hatte aber bisher keine Zeit, alles zu thematisieren. Diese Infos sind also nicht tagesaktuell – könnten aber möglicherweise hilfreich sein.

WooCommerce XSS-Sicherheitslücke

Über Cross Site Scripting (XSS) Sicherheitslücken lassen sich Informationen von einem in einem Browser-Tab laufenden JavaScript aus anderen Tabs abrufen. Fatal ist dies, wenn dort Anmeldedaten an Online-Konten eingegeben werden.

Ende August 2017 wurde eine XSS-Scripting Sicherheitslücke im Premium Plugin WooCommerce (bekannt als 'Product Vendors') entdeckt. Dieses Plugin wird von ca. 28 % aller WooCommerce-Shops eingesetzt. Ein Exploit ist inzwischen bekannt.

Betroffen ist das Plugin Product Vendors Version 2.0.35, ab der Version 2.0.36 ist die Lücke behoben. WordFence hat in diesem Blog-Beitrag Details zur Sicherheitslücke und zu den betroffenen Plugin-Versionen veröffentlicht. Das Plugin ist zuletzt im März 2015 durch eine SQL-Injection-Lücke aufgefallen.

Display Widgets enthält eine Backdoor

Das WordPress Plugin 'Display Widgets kann über 200.000 Installationen verzeichnen. Im Plugin wurde eine Hintertür (Backdoor) gefunden, die in Display Widgets Version 2.6.1 (Freigabe 30. Juni 2017) bis zur Version 2.6.3 (Freigabe 2. September 2017) vorhanden war.

In diesem Fall gibt es einige interessante Hintergrundinformationen. So hat das Plugin vor 3 Monaten den Besitzer gewechselt und der neue Autor (mutmaßlich ein Brite) hat am 30. Juni Backdoor-Code hinzugefügt. Dieser Code erlaubte es diesem, die Authentifizierung zu umgehen und mit dem Plugin Spam auf Websites zu veröffentlichen. Der Spam wurde vor dem Admin der Seite und jedem angemeldeten Benutzer versteckt.

Die WordPress-Maintainer für Plugins haben dieses Plugin in der Vergangenheit bereits mehrfach wegen 'Ungereimtheiten' entfernt. Konkret: In den letzten 3 Monaten wurde das Plugin entfernt und viermal in das WordPress Plugin Repository zurückgegeben. Während dieser Zeit hatte das Plugin diese Hintertür, die niemand bemerkte. Der neue Plugin-Besitzer nutzte diese Hintertür immer wieder, um Spam auf betroffenen Websites zu veröffentlichen.

Das Team von WordFence dokumentiert in diesem Blog-Beitrag ausführlich diese Geschichte. Wer sich hinter dem Spam-Angriff verbirgt und wie das Plugin vom Ursprungsautor übernommen wurde, hat das WordFence-Team hier dokumentiert. Ein weiterer Blog-Beitrag findet sich bei Bleeping-Computer.


Anzeige

Weiteres: Cyber-Versicherung und End-Point-Firewall

Kürzlich habe ich hier die Information gefunden, dass Hacker eine frisch eingerichtete WordPress-Site binnen 30 Minuten finden können. Ein Sicherheitsmonitoring einer Site ist beispielsweise über gravityscan.com (vom WordFence-Team) möglich. Dort kann man (neben VirusTotal) auch prüfen lassen, ob eine Site gehackt ist. Um sich aber vor diversen Überraschungen in WordPress zu schützen, bietet sich (neben einem Online-Virenscanner) die Installation einer Firewall an. Dabei gibt es zwei Möglichkeiten:

  • Eine Cloud-Firewall wie sie der von GoDaddy angebotene Sicherheitsdienstleister Sucuri oder Cloudflare anbieten.
  • Eine End-Point-Firewall, die im Blog mitläuft. So etwas wird von WordFence angeboten.

Die Leute von WordFence gehen in diesem Blog-Beitrag auf die Frage ein, warum eine End-Point-Firewall sinnvoller sein dürfte. Ich selbst setze deren Plugin ein – welches z.B. Angriffe auf WordPress-Konten blockt und auch WordPress-Plugins auf anstehende Aktualisierungen überwacht, aber auch einige Fehlalarme auslöst. Wer sich für Details zu Firewall-Regeln, die WordFence verwendet (kann man aber nicht selbst einstellen), interessiert, findet in diesem WordFence-Blog-Beitrag einige Informationen. Eine Übersicht über die häufigsten WordPress-Angriffe im August findet sich hier.

WordFence bietet auch ein Audit einer WordPress-Site zum Pauschalpreis an (Details finden sich hier). Seit der Zunahme von Angriffen auf Unternehmen werden auch immer wieder Cyber-Versicherungen ins Spiel gebracht. Die Leute von WordFence gehen in diesem Blog-Beitrag auf die Fallen solcher Versicherungen ein und analysieren, wo so etwas sinnvoll sein kann.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.