WordPress 4.7.2 und die verschwiegene Sicherheitslücke – deutsche Sites betroffen

WordPress wurde vor einigen Tagen auf die Version 4.7.2 aktualisiert – ich hatte im Blog-Beitrag WordPress Version 4.7.2 verfügbar darüber berichtet. Es handelt sich um ein Wartungs-Update, welches Probleme und Sicherheitslücken fixt. Was der Changelog nicht verrät: Es wurde eine gravierende Sicherheitslücke geschlossen. Nachtrag: Ein Problem im Zusammenhang mit der REST API ist nach wie vor offen, und wird aktiv ausgenutzt. Auch viele deutsche Websites sind betroffen.


Anzeige

Wer kein Auto-Update bei WordPress fährt, sollte jetzt dringend handeln und die WordPress Blog-Software auf die Version 4.7.2 aktualisieren. Bereits vor ein paar Tagen habe ich eine Sicherheitswarnung des Sicherheitsanbieters WordFence über eine Sicherheitslücke im Kern von WordPress. Der betreffende Blog-Beitrag vom 2. Februar 2017 ist hier zu finden. Auch Sururi warnt vor den Lücken und im Blog dümpeln weitere Artikel, die u.a. die REST-API-Schwachstelle adressieren (siehe WordPress: REST API ermöglicht "Konten-Harvesting").

Lücke stillschweigend geschlossen, eine noch offen

Bei Bleeping Computer ist man da weniger zurückhaltend und benennt Ross und Reiter. Im Artikel WordPress Team Fixed a Zero-Day Behind Everyone's Back and Told No One gibt man an, dass heimlich zwei Sicherheitslücken, die aktiv ausgenutzt werden, stillschweigend geschlossen wurden. Eine deutschsprachige Information zum Thema ist bei heise.de zu finden.

Nachtrag: Viele (auch deutsche) Websites betroffen

Gerade erhalte ich vom Sucuri-Sicherheitsteam eine Mail mit der Warnung, dass die Lücken in WordPress bis zur Version 4.7.1 aktiv ausgenutzt werden. Mittlerweise sind viele 10.000 WP-Blogs in Google abrufbar, die bereits angegriffen wurde, denn der Fehler in der REST-API ist noch nicht behoben.

Kompromittierte WordPress-Seiten

Geht man in Google nach dem String by w4l3XzY3 auf die Suche, werden eine Treffer ausgeworfen (siehe Screenshot). Das Radisson Park Inn in Papenburg ist genau so dabei wie die deutsche Psychologen Akademie, ein deutsche "Keynote-Speaker und CEO" oder ein Ponyhof in Nettetal.

Ich habe die Betreiber diverser Sites per Mail informiert. Nachtrag: Auch nach zwei Tagen ist da nichts passiert – dafür sind aber neue Sites hinzugekommen.

Das ist aber nicht der einzige Hinweis auf Infektionen, die Schwachstellen in der REST-API werden von diversen Gruppen ausgenutzt, um Blogs zu kompromittieren. Details zum Thema finden sich in diesem Sucuri-Artikel – wobei die Lücke durch die Verwendung von Sicherheits-Lösungen (WP-Firewall) von Sucuri oder WordFence) nicht ausnutzbar ist. Die andere Lösung besteht darin, in WordPress 4.7.2 die REST-API, zum Beispiel mit dem WordPress Disable REST API Plugin, abzuschalten.

Ähnliche Artikel:
WordPress Version 4.7.2 verfügbar
WordPress: REST API ermöglicht "Konten-Harvesting"


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu WordPress 4.7.2 und die verschwiegene Sicherheitslücke – deutsche Sites betroffen

  1. Kai MK sagt:

    Moin Herr Born,

    seit vielen Jahren verwende ich genau so wie Sie, WordPress für meinen kleinen Blog und versuche diesen natürlich auch entsprechend abzusichern.

    Konkrete Frage:
    Wie sichern Sie Ihren Blog ab? Es gibt bereits tausende Beiträge zu diesem Thema im Netz, keine Frage – aber so richtig ehrlich: die Verfasser dieser Beiträge kenne ich nicht und bin mir nicht immer so sicher, wie valide deren Beiträge sind …
    Ihren Blog lese ich allerdings schon seit vielen Jahren und habe ein gewisses Vertrauen in Ihre Person gewonnen. Sie bringen die Themen auf den Punkt – und genau so gehen Sie bestimmt auch das Thema Sicherheit für Ihren Blog an.
    Ohne Tüdelkram.
    Würden Sie mir hier eine Übersicht geben?

    Beste Grüße,
    Kai MK

    • Günter Born sagt:

      Nur mal eine ganz schnelle Übersicht:

      SEO-Spam halte ich mir mit Anti-Spam vom Leib (hab das Plugin mal von Sergej Müller übernommen, wird jetzt von webvitali weiter gepflegt). Weiterhin müssen alle Kommentare erstmalig von mir freigeschaltet werden.

      Dann läuft AntiVirus, um die Template-Dateien zu prüfen (stammt ursprünglich auch von Sergej Müller).

      Die Anmeldung wird über ein weiteres Plugin so "verhunzt", dass Angriffe ins Leere laufen. Und da finden viele Angriffe statt. Als Firewall und Sicherheits-Tool läuft das WordFence-Plugin mit (gelegentlich nutze ich auch noch das Plugin von Sucuri). Bei Bedarf setze ich noch den Quttera Web Malware Scanner ein.

      Bei allen letztgenannten Plugins muss man halt wissen, dass es häufig zu false positive Meldungen kommt. Da heißt es dann, sich den Quellcode der Dateien ansehen und entscheiden "kann das weg, oder wird es noch gebraucht" – und ist da was infiziert.

      Wenn mal wieder eine externe Meldung "Blog ist infiziert" kommt, verwende ich Virus Total und weitere externe Scanner zum Gegencheck. Bisher bin ich auf diese Weise im Blog sauber geblieben. Hinzu kommt natürlich, WP aktuell zu halten und möglichst wenig Plugins einzusetzen, um die Angriffsfläche möglichst klein zu halten.

  2. D! sagt:

    Ein Skandal! Mündige Bürger scheinen nicht auf die ungefragten Hinweise von der selbsternannten InternetPolizei zu reagieren.

    • Günter Born sagt:

      Ich weiß ja nicht, auf welchem Planeten Du zu leben scheinst. Wenn diese "mündigen Bürger" Blogs mit WordPress betreiben, die für Phishing-Sites als Relais dienen oder sonst gehackt sind (Stichworte sind Malware oder Botnets), hat das wenig mit Internet-Polizei zu tun. Da sollten die Leutchen froh sein, wenn ein Hinweis auf eine Infektion kommt und handeln.

      Spätestens, wenn jemand die Betreiber wegen Fahrlässigkeit juristisch dran kriegt, wird es auch da "Schluss mit lustig" sein. Da die Sites bei Google heftig abgestraft werden und auf Blacklists kommen, ist ebenfalls nicht lustig für die Betroffenen. Ein Radison Hotel, ein in der Öffentlichkeit mit als Speaker-Auftritten werbender CEO, eine Uni oder ein Institut etc. sollten da schon ein gesteigertes Interesse dran haben, dass die Sites clean bleiben. Wer da nicht auf Hinweise reagiert, segelt grob fahrlässig – zum Glück reagieren Provider und sperren die Webauftritte dieser Klientel in einigen Fällen – zumindest nach Hinweisen der "Indernet-Polizei" (einem Provider habe ich eine Takedown-Notiz geschickt).

      Von Grundschulen, wo ein Feierabend-Admin glaubt, einen Blog aufsetzen zu müssen (und Links zu Kontaktseiten gelöscht sind), bis zu Akademien und Agenturen ist alles dabei. Sind aktuell über 1.800 deutsche Sites kompromittiert.

      Just my 2 cents & kopfschütteln wg. des Kommentars

      PS: Auch eine Website der Gewerkschaft der Polizei – Bezirk BKA ist darunter – nice.

  3. Bettina sagt:

    Vielen Dank für die E-Mail!!
    Viele Grüße
    Bettina

  4. Pixxel sagt:

    Einer meiner Blogs war ebenfalls betroffen bzw. wurde gehackt. Ich bedanke mich herzlich für den Hinweis per Mail! Toller Blog, sehr informative Beiträge!

  5. Robin sagt:

    Vielen Dank für Ihre Email!

Schreibe einen Kommentar zu Bettina Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.