WordPress: Neue Backdoor in 3 Plugins entdeckt (28.12.2017)

WPMal wieder eine dringende Sicherheitswarnung an Betreiber von WordPress-Seiten, die auf Plugins setzen. Drei weitere Plugins wurden wegen Backdoors aus dem Plugin-Repository geworfen. Hier einige Informationen.


Anzeige

Erst vor Weihnachten hatte ich im Blog-Beitrag Hunderte WordPress-Sites mit Backdoors in Plugins über 14 veraltete Plugins mit Backdoor berichtet. Sicherheitsspezialisten von WordFence weisen darauf hin, dass erneut drei weitere Plugins wegen Code-Injection-Bestandteile aus dem WordPress-Plugin-Repository geflogen sind.

Drei Plugins aufgekauft

In den letzten zwei Wochen hat das WordPress.org-Repository drei Plugins geschlossen, weil sie Content-Injection-Backdoors enthielten. Das Schließen" eines Plugins bedeutet, dass es nicht mehr zum Download aus dem Repository zur Verfügung steht und nicht in den Suchergebnissen von WordPress.org angezeigt wird.

Jede dieser Plugins war in den letzten sechs Monaten als Teil derselben Supply Chain-Attacke gekauft worden. Ziel der modifizierten Plugins ist es, SEO-Spam in die WordPress-Websites zu injizieren, auf denen die Plugins verwendet werden.

Die Zahlung für die Plugin wurden laut WordFence von einer Firma namens Orb Online in  West Sussex, Großbritannien, geleistet. Eine schnelle Google-Suche führt zu deren  Website mit folgenden Informationen: "Orb Online ist eine britische Agentur für digitales Marketing, die sich auf SEO, eCommerce und Magento Web-Entwicklung spezialisiert hat".


Anzeige

Um welche Plugins geht es?

Wordfence führt ihn ihrem Bericht die Details zu den Backdoors folgender Plugins auf, die aus dem WordPress Plugin-Repository geflogen sind.

  • Duplicate Page and Post: Geschlossen am 14. Dezember 2017, über 50.000 Installationen. Plugin im August an den Entwickler pluginsforwp verkauft, der sich am 10. July 2017 bei WordPress.org angemeldet hat. Die Content Injection Backdoor erschien erstmals in der Version 2.1.0 (veröffentlicht vor 4 Monaten).
  • No Follow All External Links: Geschlossen am 19. Dezember 2017, über 9.000 Installationen. Plugin im August an den Entwickler gearpressstudio verkauft (hat sich am 17. März 2017 bei WordPress.org angemeldet. Orb Online in West Sussex hat für dieses Plugin gezahlt.
  • WP No External Links: Geschlossen am 22. Dezember 2017, über 30.000 Installationen. Plugin am 12. July an den Entwickler teamerdevelopment verkauft (hat sich am 29. Juni 2017 bei WordPress.org angemeldet. Orb Online in West Sussex hat für dieses Plugin gezahlt.

Im WordFence-Artikel sind die Details zu den Backdoors beschrieben. Wie es ausschaut, stecken die selben Leute hinter dieser Geschichte.

Abschließender Hinweis

Aktuell kann das Plugin-Geschehen von WordPress nur als kaputt bezeichnet werden. Es gibt keinen Mechanismus, der die Plugins deaktiviert oder dem Benutzer eine fette Warnung anzeigt. Als Betreiber einer WordPress-Seite empfehle ich, möglichst wenige Plugins zu verwenden. Diese sollten regelmäßig überprüft werden, ob der Original-Autor noch dahinter steckt. Zudem sollten Sicherheitslösungen wie die Firewall von WordFence installiert werden. Die Sicherheitsspezialisten von WordFence überwachen die Plugins und lösen eine Warnung aus, wenn Probleme bekannt werden.

Ähnliche Artikel:
Neues zu Hacks per WordPress-Sicherheitslücke
WordPress: Angriff per Redirect Hack
Massive Krypto-Mining Kampagne gegen WordPress-Sites
WordPress Botnet von WordFence geknackt – von deutschem Hacker betrieben?
Versteckte Backdoor in WordPress Captcha-Plugin gefunden

WordPress-Plugin WP-SpamShield (Pro) mit Backdoor infiziert
WordPress-Plugins: Backdoors und Sicherheitslücken
WordPress-Plugin generiert Suchmaschinen-Spam
Nachgang zu 'WordPress-Plugin generiert Spam' – deutsche Webseiten betroffen und referenzieren Escort-Dienste
Hunderte WordPress-Sites mit Backdoors in Plugins


Anzeige

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.