Sicherheitslücke im WP GDPR Compliance Plugin – Hunderte Seiten werden gehacked

Im Zuge der ganzen DSGVO Aufregung haben sich viele WordPress Seitenbetreiber das WP GDPR Compliance Plugin installiert (was den Blog auch nicht automatisch DSGVO sicher macht, aber seis drum). Und weil viele Seitenbetreiber keine Lust haben, sich um ihr WordPress zu kümmern (regelmäßig Updates einspielen würde ja schon vieles verhindern), werden jetzt reihenweise Webseiten gekapert – weil das besagte Plugin eine Schwachstelle im Code aufwies, über die Angreifer auf die Seite gelangen konnten. „Konnten“ deshalb, weil die Sicherheitslücke inzwischen behoben wurde und ein Plugin-Update vorliegt. Das muss man aber auch einspielen.

Ob euer WordPress gekapert wurde, könnt ihr u.a. daran erkennen, dass die Seite im Frontend zerschossen ist, es Weiterleitungen zu fremden Seiten gibt und sich neue Benutzer t2trollherten oder t3trollherten mit Admin-Rechten vorfinden. Je nachdem kann sich der Angreifer durch weitere Backdoors oder Shells auf dem System ausgebreitet haben. Kann man daran erkennen, dass sich im Uploads Ordner z.B. PHP Dateien finden lassen.
Da hilft eigentlich nur eine Komplettbereinigung.

Also: Sofern das WP GDPR Compliance Plugin bei euch im Einsatz ist – spielt das Update ein oder werft es von eurem Blog runter.
Wenn ich das richtig verstanden habe, war das Plugin in diesem speziellen Fall einfach schlampig programmiert und die Chance auf weitere Schwachstellen ist groß.

Und nein, hier helfen auch keine „Sicherheits“-Plugins wie Wordfence, ithemes Security oder All-in-One Security weiter. Auch die beliebten 2 Factor Authentification Plugins oder Login-Barrieren wie Limit Login Attempts sind hier fehl am Platze. Das Problem des WP GDPR Compliance Plugin hat im Gegenteil nicht mal etwas mit dem Login-Prozess von WordPress zu tun. So wie die meisten Webseiten nicht über den Anmeldeprozess gehacked werden.

Gegen schlecht programmierte Plugins und Themes hilft nur, diese schlecht programmierten Sachen von der Seite zu schmeißen. Leider hat der 0815 Nutzer das nicht auf dem Schirm und vertraut den Versprechen der Anbieter von Security Plugins.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.