Hunderte WordPress-Sites mit Backdoors in Plugins

Es ist eine beunruhigende Meldung: Obwohl bestimmte Sicherheitsprobleme seit Jahren bekannt sind, laufen wohl noch hunderte WordPress-Seiten mit veralteten Plugins, die Backdoors aufweisen.

Entdeckung von Backdoors in Plugins im Jahr 2014

Bereits im Jahr 2014 gab es diesen Blog-Beitrag von Thomas Hambach. Der Webdesigner lebt in Hongkong und hatte sich beim Umzug eines WordPress-Blogs den Code einiger Plugins angesehen. Dabei ist ihm das Plugin Lightbox aufgefallen, welches bei der Installation nachträglich Code in ein Plugin-Installationsverzeichnis hochladen kann.

In den Kommentaren findet sich der Hinweis, dass das Plugin SEO-Spam im Blog einfügt. Zudem schickt das Plugin die URL der Site sowie weitere Daten an den Autor des Plugins. Das Plugin wurde im February 2014 vom WordPress-Team aus dem Plugin-Repository rausgeworfen. Im gleichen Jahr wurden 14 Plugins wegen Schadcode (Backdoors) aus dem offiziellen WordPress Plugin Directory entfernt.

2015 wird das Plugin noch verwendet

Und obwohl das Plugin in 2014 aus dem WordPress Plugin Directory gekickt wurde, berichteten White Fir-Experten, dass noch 2015 verschiedene IP-Adressen versuchten, den Schadcode abzurufen. Ich habe gerade über den Link der White Fire-Experten nachgesehen. Es gibt eine Host Europe-IP, die Ende 2017 noch aufgeführt wird.

Neue Meldung in 2016

Im Oktober 2016 warnten Sicherheitsexperten von White Fir Design die Öffentlichkeit vor mysteriösem Code in 14 Plugins, der es einem Angreifer erlaubte, Remote-Code auf WordPress-Sites auszuführen. White Fir Design sind die Entwickler des WordPress-Plugin Plugin Vulnerabilities, welches vor der Verwendung von Plugins mit bekannten Schadcode warnt.

Nach wie vor in Betrieb

Jetzt sind wir drei Jahre weiter – und Ende 2017 benutzen noch hunderte Webseiten diese Plugins mit den betreffenden Backdoors.

Das Ganze kam wieder ins Rampenlicht, als kürzlich das WordPress Plugin Directory geändert wurde, wie Bleeping Computer hier schreibt. Die Änderung zeigte die Seiten für alte Plugins, die geschlossen wurden, aber sichtbar bleiben, wenn auch mit deaktivierter Download-Option. Bisher waren diese Seiten nicht öffentlich zugänglich.

Die Seiten für alle ehemaligen Plugins, die den vorsätzlichen bösartigen Code enthielten, zeigen), dass selbst nach fast drei Jahren, nachdem das WordPress-Team die Plugins aus dem öffentlichen Download entfernt hat, es hunderte von Websites gibt, die diese Plugin immer noch verwenden. Das Plugin wp-handy-lightbox kommt auf 500.000 Installationen. Eine Liste der Plugins findet sich in diesem Bleeping Computer-Artikel.

Das ist dann die Schattenseiten des Bloggens unter WordPress. Viele lassen sich einen Blog von Dienstleistern aufsetzen, hauen zig Plugins rein und kümmern sich nie wieder darum. Entsprechend offen sind die Installationen. Hier im Blog halte ich die Zahl der eingesetzten Plugins klein und betreibe einen gewissen Aufwand, um diese aktuell und den Blog sauber zu halten. Neben einer WP-Firewall laufen auch Antivirus Plugins mit. Immer wenn es einen false positiv Alarm gibt, heißt es, den Code zu inspizieren und zu sehen, was los ist. In der Linkliste habe ich einen Fall aufbereitet, wo ich zig deutsche WordPress-Betreiber, von Kommunen bis zum Ponyhof und Hotel angemailt habe, weil deren Blogs kompromittiert waren.

Ähnliche Artikel:
Neues zu Hacks per WordPress-Sicherheitslücke
WordPress: Angriff per Redirect Hack
Massive Krypto-Mining Kampagne gegen WordPress-Sites
WordPress Botnet von WordFence geknackt – von deutschem Hacker betrieben?
Versteckte Backdoor in WordPress Captcha-Plugin gefunden
WordPress-Plugin WP-SpamShield (Pro) mit Backdoor infiziert
WordPress-Plugins: Backdoors und Sicherheitslücken
WordPress-Plugin generiert Suchmaschinen-Spam
Nachgang zu 'WordPress-Plugin generiert Spam' – deutsche Webseiten betroffen und referenzieren Escort-Dienste