[English]Wie es ausschaut, ist das DSGVO-Plugin für WordPress des Anbieters legalweb.io gehackt worden. WordPress-Installationen, die dieses Plugin eingesetzt haben, sind als kompromittiert anzusehen. Benutzer werden zu Malware-Seiten umgeleitet. Hier eine kurze Zusammenfassung, was mir bisher, auf Grund eines Leserhinweises, bekannt ist.
Anzeige
Das WP DSGVO Tools (GDPR)-Plugin
Das Plugin ist seit dem 20. September 2021 stillgelegt, wie man auf dieser shapepress-dsgvo Plugin-Seite von WordPress nachlesen kann. Leider ist diese Beschreibung ziemlich nichtssagend, man erkennt lediglich, dass diese Stillegung temporär sein soll.
Hack des DSGVO-Plugin von legalweb.io
Blog-Leser Frank Z. hat mich bereits am Sonntag, den 25. Sept. 2021 per Mail kontaktiert (danke dafür). Ein Bekannter hatte ihn kontaktierte, weil dessen WordPress-Installation gehackt worden war. Frank schrieb mir unter dem Betreff WordPress Hack mit DSGVO-Plugin von legalweb.io folgendes:
Hallo Günter,
heute hatte mich ein Bekannter angerufen dass seine WordPressseiten gehackt wurden.
Es war ein Redirect zu einer anderen Seite hinterlegt. Bei Dir im Blog als erstes geschaut, aber nicht wirklich was gefunden.
Hab dann mal kurz die WordPress-Datenbank der betroffenen Seiten gezogen und mal nach dem redirect Ausschau gehalten.
Wurde auch schnell fündig, es betraf das DSGVO-Tool. Kurzer Check, die Version ist eigentlich aktuell. Habe das Plugin deaktiviert und der redirect war weg.
Nochmal recherchiert und das hier gefunden: firestorm.ch
Ich mein das das einige Leute mit Ihren Seiten betrifft, das Plugin war nicht so wirklich unbeliebt.
Schönen Sonntag
Die von Frank verlinkte Webseite firestorm.ch bestätigt diese Vermutung und führt folgendes aus:
Der Anbieter Legalweb mit seinem beliebten WordPress-Tool DSGVO Tools (GPDR) ist gehackt worden. Alle WordPress-Webseiten, die dieses Plugin verwenden, werden auf Malware-Webseiten umgeleitet. Bitte handeln Sie sofort und deaktivieren Sie das Plugin!
Inzwischen gibt es weitere Artikel wie diesen Beitrag, die über den Sachverhalt berichten (dort wird auf die schwedische Fassung des Plugins verlinkt). Bei webhoster.de gibt es diese Warnung vom 24. September 2021, dass einige Websites gehackt worden seien. Dort heißt es:
Es wird im Plugin der google analytics code ausgetauscht. Dieser wird in der WordPress Datenbank gespeichert und gegen ein Scriptcode ausgetauscht, der ein Redirect zu einer anderen Website durchführen soll.
In einem Update von heute heißt es, dass man eine Nachricht des Herstellers erhalten habe, dass alle Versionen <= 3.1.22 von dem Problem betroffen seien und es aktuell über WordPress kein Update gibt. Das Update kann manuell beim Anbieter heruntergeladen.
Ergänzung: Auf dieser deutschsprachigen Webseite hier wird ebenfalls vor dem betreffenden Hack gewarnt. Die Seite pluginvulnerabilities.com berichtet im Artikel Recently Closed WordPress Plugin With 30,000+ Installs Contains Type of Vulnerability Hackers Target vom 22. September 2021 Details. Das Plugin soll mehr als 30.000 Installation aufweisen. In den angreifbaren Versionen gab es eine Cross-Site-Scripting-Schwachstelle (XSS) in den Einstellungen. Diese ermöglichte es einem Angreifer, JavaScript-Code auf der Website laufen zu lassen. Genau dies scheint auch passiert zu sein. Da das nicht die erste Schwachstelle im Plugin ist, wie die Seite ausführt, empfiehlt es sich, das Plugin rauszuwerfen.
Ergänzung 2: Im WordPRess Support-Bereich zum Plugin findet sich dieser Kommentar von legalweb, wo der Hack für alle Versionen <= 3.1.22 bestätigt wird. Ich ziehe diesen Text mal heraus, falls er gelöscht werden sollte:
Anzeige
In den Versionen <= 3.1.22 ist Angreifen gelungen, die Scripten der Integrationen zu manipulieren.
In den Eingabefeldern unserer Plugins kann beliebiger Code (html, js,..) eingegeben werden. Auch Code, welcher auf eine andere Seite umleitetet.
Der Angreifer hat es geschafft, z.B. im Matomo Feld Code einzuschleusen, welcher auf andere Seiten weiterleitet.
Da Matomo ohne Einwilligung ausgeführt werden darf, wird der Code in diesem Feld bei Besuch automatisch ausgeführt. Somit wurde der Besucher gleich auf eine andere Seite weitergeleitet.
Dies hat aber nicht mit Matomo zu tun, sondern hätte bei jeder anderer Integration auch sein können.Wir haben nun eine Version, die dieses Problem lösen soll.
Da wir aber gerade unter Review sind, können wir das Update zur Zeit nicht in gewohnter Form bereitstellen.
Diese ist unter folgendem Link downloadbar https://legalweb.io/spdsgvo-bin/shapepress-dsgvo.zip
Sobald das Review erledigt ist, kann das Plugin wieder normal upgedated werden.Wichtig:
Alle Integrationen werden sicherheitshalber deaktiviert. Bitte kontrolliert die Scripten eurer Integrationen (Google Analytics, Matomo, …) ob es wirklich noch euer Code ist, oder ob es um einen "Weiterleitungs-Script-Code" handelt.
Erst danach die Integration wieder aktivieren.Ihr müsst das Zip via WordPress Plugin Installer hochladen und das bestehende Plugin damit ersetzen.
Ergänzung 3: Beachtet die inzwischen erfolgten Nachträge im Support-Bereich des Plugins, speziell von Daniel Ruf. So sind die Redirekts wohl in der Datenbank (für Integrationen wie Google Analytics, Mamoto, etc.) abgelegt und die Schwachstellen bei ungepatchtem Plugin werden inzwischen (seit 22.9.2021) wohl aktiv ausgenutzt.
Zudem empfiehlt sich ein Blick auf die Seite nintechnet.com, wo weitere Plugins mit Schwachstellen aufgelistet werden.
Wenn ich betroffen bin
Wer das Plugin des Anbieters einsetzt, sollte dieses umgehend deaktivieren und löschen. Dazu sind nach einer Anmeldung am WordPress-Dashboard folgende Schritte durchzuführen.
- Im Dashboard unter Plugins das betreffende Plugin WP DSGVO Tools (GDPR) deaktivieren und anschließend deinstallieren lassen.
- Dann in einem FTP-Programm oder im Dashboard des WordPress-Hosters den folgenden Ordner löschen:
/wp-content/plugins/shapepress-dsgvo/ - Prüfen Sie im WordPress-Dashboard nun unter Einstellungen -> Allgemein die beiden Felder WordPress URL und Site Address URL, ob die richtige URL-Adresse gespeichert ist.
Abschließend sollte man noch den Cache von Plugins mit Caching-Funktion löschen und die WordPress-Passwörter ändern.
Ergänzung 4: Das Ändern der WordPress-Passwörter scheint nicht erforderlich. Aber eine Bereinigung der Datenbank um die Redirect-Anweisungen wird erforderlich, falls die WordPress-Instanz erfolgreich mit diesen Weiterleitungen angegriffen wurde (siehe auch die Diskussion zum Plugin). Die Entwickler haben zwar ein aktualisiertes Plugin als ZIP-Archiv zum manuellen Download und zur manuellen Installation bereitgestellt. Die Frage, die sich jeder aber stellen sollte: Vertraue ich dem Plugin und dem Anbieter.
2015
Hallo,
vielen Dank für die Aufarbeitung. Einige meiner Websites hatte es auch erwischt und ich war im ersten Moment ziemlich verwundert, wie das sein konnte. Nun bin ich schlauer und das Plugin wurde verbannt. Das Vertrauen in dieses Produkt ist nicht mehr vorhanden.
Tja, bin mal gespannt wann andere Systeme mit diesem überflüssigen bescheuerten DSVGO Cookie Kram gehackt werden – „stimmen Sie der verstecken Malware zu" ;)
Ich finde es ja schon sehr bezeichnend, dass auf der Website von legalweb.io keinerlei Info dazu steht, außer, dass man es nicht mehr runterladen kann!
Bestätigt weiterhin keine WordPress Fertigsysteme zu nutzen.
Wenn ich sehe wie viele (automatisierte) Angriffe und Abklopfen auf Schwachstellen täglich auf das System gefahren werden und das bei jemandem, der kein WordPress nutzt, gibt einem das zu denken. Vor allem wenn ich bedenke dass einige Standardattacken seit Jahren genutzt werden…
Der Internetauftritt basiert ja auch auf WordPress. Dazu Yieldscale, Google, VGWort, Imgur und Bloggerei. Wär mir als Seitenersteller schon viel zu viel an Drittanbietern.
Vor allem werden solche Geschichten "schön", wenn jemand solche Fertigsysteme/Plugins nutzt, Seiten nicht pflegt, nicht schaut was auf der Gegenseite aufgefahren wird und/oder keine Ahnung hat, z.b. von einem Bekannten hat einrichten lassen usw. Aber das ist natürlich einfach.
Einen Internetauftritt zu erstellen ist halt massenzugänglich geworden. Das bringt gute als auch schlechte Aspekte mit sich.
Nun ja, es bringt halt wenig, alles über einen Kamm zu scheren. Bei Borncity habe ich von Beginn an selbst die Finger drauf – mag zwar nicht sagen: Ich werde nicht gehackt – aber bisher ist mir – dank minimierter Anzahl an Plugins, zeitnaher Aktualisierung und weiteren Sicherheitsfunktionen – gelungen, sauber zu bleiben.
Zu deinem Satz zu "Yieldscale, Google, VGWort, Imgur und Bloggerei": Irgendwo muss der Auftritt finanziert werden – sonst ist es halt schlicht bald Schluss mit lustig. Zudem sind VGWort, Imgur und Bloggerei schlicht Angebote zum Einbinden von Bildern oder Zählpixeln. Es könnte da zwar einen Hack geben, wo ein Bild durch Malware ausgetauscht wird. Aber das könnte bei jedem externen Link auch der Fall sein. Dann müsste man sich vom Web verabschieden.