Das WordPress-Plugin „WP GDPR Compliance“ soll Webseitenbetreiber bei der Einhaltung der Datenschutzgrundverordnung (DSGVO) unterstützen. Wie heise Security berichtet, können Angreifer durch eine Sicherheitslücke im Plugin die Kontrolle über die komplette WordPress-Installation übernehmen.

Gemeldet hat die Sicherheitslücke die Sicherheitsfirma Wordfence. Demnach soll das Plugin bis einschließlich Version 1.4.2 verwundbar sein. Ein aktueller Sicherheitspatch ist bereits veröffentlicht und sollte zeitnah eingespielt werden.

Wie Wordfence in dessen Beitrag berichtet, soll der Angriff über die AJAX-Schnittstelle, die u.a. für das Dashboard-Widget genutzt wird, möglich sein. Aufgrund fehlender Verifizierungsmechanismen können Angreifer durch den Aufruf einer URL die WordPress-Konfiguration manipulieren. Dies führt dazu, dass ein Angriff nach folgendem Muster durchgeführt werden kann:

  1. die Registrierung aktivieren (users_can_register auf 1 setzen)
  2. die Standard-Benutzergruppe (default_role) auf „Administrator“ setzen
  3. einen Nutzer über die Frontend-Registrierung unter /wp-login.php?action=register registrieren (dieser hat damit automatisch volle Administrator-Rechte)

Danach ist es möglich Schadcode auf der Seite zu platzieren und den Server für weitere Angriffe (auf andere Systeme) zu verwenden.

Angriffe bereits festgestellt!

Wie bekannt wurde, wurde die Sicherheitslücke bereits zahlreich ausgenutzt. Häufig war in betroffenen Webseiten ein Administrator-Account mit dem Namen „t2trollherten“ und eine Datei namens „wp-cache.php“ zu finden. Durch diese Datei, die zugegeben einen sehr gut getarnten Namen trägt,  ist es den Angreifern auch nach Säuberung der WordPress-Installation selbst möglich auf den Server zuzugreifen.

Ich bin betroffen! Was tun?

Wer glaubt, bereits einem Angriff zum Opfer gefallen zu sein, der sollte sich sofort an einen Experten wenden. Geschieht dies nicht und weiterer Schaden wird dadurch verursacht, so besteht die Möglichkeit einer gewissen Mithaftung.

Im Falle eines (möglichen) Angriffs wenden Sie sich per E-Mail an mail@bernhard-kraemer.com. Beschreiben Sie darin bitte so detailliert wie möglich, warum Sie glauben „gehakt“ worden zu sein. Senden Sie allerdings bitte noch keine Zugangsdaten mit! Unsere Experten prüfen kurzfristig, ob sich Ihr Verdacht erhärtet und werden im Falle eines tatsächlichen Angriffs zunächst den Angriff unterbinden, die Web-Applikation bereinigen und entsprechende Schutzmaßnahmen installieren.

The following two tabs change content below.
Bernhard Krämer
entwickelt Webseiten und Webanwendungen vorwiegend auf Basis von PHP/MySQL und führt für Unternehmen Security-Awareness-Kampagnen durch. In diesem Blog schreibt er über diverse Themen rund um Webentwicklung, das Internet und dessen sichere Anwendung.