Kürzlich ist ein Plugin aus dem WordPress-Repository entfernt worden. Der Hintergrund: Offenbar haben dessen Autoren eine Crypto-Mining-Funktion eingebaut, um im Hintergrund Geld zu machen.
Es ist schon unglaublich, mit was man sich als WordPress-Nutzer herumschlagen muss. Setzt man Plugins für Zusatzfunktionen ein, läuft man in diverse Risiken. Ein Problem ist, dass die Plugins oft irgendwann nicht mehr gepflegt werden und dann ein Sicherheitsrisiko darstellen oder irgendwann Ärger mit neuen WordPress-Versionen verursachen. Gerade Plugins fallen ja immer wieder durch Sicherheitslücken auf und man muss hoffen, dass diese schnellstmöglich behoben werden. Und man muss dem Plugin-Anbieter schon vertrauen. Denn das Plugin läuft ja im Blog unter WordPress mit, so dass eine Backdoor oder Schadfunktion mächtig Schaden anrichten kann.
Crypto-Mining im Plugin
Kürzlich wurde das Plugin „Animated Weather Widget by weatherfor.us.“ aus dem WordPress-Plugin-Repository entfernt.
Interessant ist der Hintergrund, warum das Plugin rausgeflogen ist. Das Team von WordFence hat da etwas tiefer gegraben. Wie das Team schreibt, scheint es, dass das Plugin entfernt wurde, weil es über eingebundenen JavaScript-Code einen Crypto-Miner eingebunden hat. Dieser benutzte die CPU-Ressourcen von Website-Besuchern, um Crypto-Geld zu schürfen. Der Ansatz funktioniert wie folgt:
- Installierte ein WordPress Site-Besitzer das „Animated Weather“ Plugin, lud das Plugin über einen iframe-Tag beliebige Inhalte, die eingeblendet wurde.
- Dies gab den Plugin-Autoren die Möglichkeit, beliebigen Code in den Browser des Besuchers einzubinden und den Code jederzeit zu ändern.
- Irgendwann hat man dann im iframe-Tag JavaScript-Code von CoinHive eingebaut, der die Monero Kryptowährung schürft.
Die Erlöse werden von CoinHive auf das angegebene Konto des Schürfers überwiesen. Vermutlich ist der Kontoinhaber in diesem Fall der Besitzer des Plugins „Animated weather“. CoinHive behält 30% des Gewinns ein. Dieser Ansatz erlaubt dem Besitzer des Plugins Geld zu verdienen, indem er die CPU-Ressourcen der Besucher von Websites mit dem „Animated weather“ Plugin nutzt.
Die Leute von WordFence haben Seiten abgerufen, die das Plugin wohl noch verwenden und mussten feststellen, dass die Minertätigkeit erhebliche CPU-Ressourcen der Besucher verbraucht. Falls also jemand von Euch dieses Plugin einsetzen sollte, werft es aus WordPress raus. Weitere Details finden sich hier.
Hier ein Paar Lösungen wie man das Mining verhindern kann.
CoinBlockerLists: einfache Hosts Listen die man in die Hosts Datei eintragen kann.
CoinBlockerLists ist vor allem für Admins gedacht die Mining in ihren Netzwerken verhindern möchten.
NoCoin eine Browser Erweiterung, die das Mining Blockieren kann.
https://github.com/keraf/NoCoin
Hallo,
irgendwie finde ich den Einleitungssatz „Es ist schon unglaublich, mit was man sich als WordPress-Nutzer herumschlagen muss.“ unpassend.
Kein WordPress-Nutzer muß Plugins installieren, oder?
Das wäre in etwa so, als wenn ich sagen würde „Es ist schon unglaublich, mit was man sich als Hausbesitzer herumschlagen muss.“, bloß weil man jedem Unbekannten, der verspricht, Geschirr abzuwaschen und die Betten zu machen – und das natürlich kostenlos – bedenkenlos den Haustürschlüssel in die Hand drückt.
Der Vergleich hinkt, aber ich hoffe, es ist klar, worauf ich raus will …