Mal wieder eine dringende Sicherheitswarnung an Betreiber von WordPress-Seiten, die auf Plugins setzen. Drei weitere Plugins wurden wegen Backdoors aus dem Plugin-Repository geworfen. Hier einige Informationen.
Anzeige
Erst vor Weihnachten hatte ich im Blog-Beitrag Hunderte WordPress-Sites mit Backdoors in Plugins über 14 veraltete Plugins mit Backdoor berichtet. Sicherheitsspezialisten von WordFence weisen darauf hin, dass erneut drei weitere Plugins wegen Code-Injection-Bestandteile aus dem WordPress-Plugin-Repository geflogen sind.
Drei Plugins aufgekauft
In den letzten zwei Wochen hat das WordPress.org-Repository drei Plugins geschlossen, weil sie Content-Injection-Backdoors enthielten. Das Schließen" eines Plugins bedeutet, dass es nicht mehr zum Download aus dem Repository zur Verfügung steht und nicht in den Suchergebnissen von WordPress.org angezeigt wird.
Jede dieser Plugins war in den letzten sechs Monaten als Teil derselben Supply Chain-Attacke gekauft worden. Ziel der modifizierten Plugins ist es, SEO-Spam in die WordPress-Websites zu injizieren, auf denen die Plugins verwendet werden.
Die Zahlung für die Plugin wurden laut WordFence von einer Firma namens Orb Online in West Sussex, Großbritannien, geleistet. Eine schnelle Google-Suche führt zu deren Website mit folgenden Informationen: "Orb Online ist eine britische Agentur für digitales Marketing, die sich auf SEO, eCommerce und Magento Web-Entwicklung spezialisiert hat".
Anzeige
Um welche Plugins geht es?
Wordfence führt ihn ihrem Bericht die Details zu den Backdoors folgender Plugins auf, die aus dem WordPress Plugin-Repository geflogen sind.
- Duplicate Page and Post: Geschlossen am 14. Dezember 2017, über 50.000 Installationen. Plugin im August an den Entwickler pluginsforwp verkauft, der sich am 10. July 2017 bei WordPress.org angemeldet hat. Die Content Injection Backdoor erschien erstmals in der Version 2.1.0 (veröffentlicht vor 4 Monaten).
- No Follow All External Links: Geschlossen am 19. Dezember 2017, über 9.000 Installationen. Plugin im August an den Entwickler gearpressstudio verkauft (hat sich am 17. März 2017 bei WordPress.org angemeldet. Orb Online in West Sussex hat für dieses Plugin gezahlt.
- WP No External Links: Geschlossen am 22. Dezember 2017, über 30.000 Installationen. Plugin am 12. July an den Entwickler teamerdevelopment verkauft (hat sich am 29. Juni 2017 bei WordPress.org angemeldet. Orb Online in West Sussex hat für dieses Plugin gezahlt.
Im WordFence-Artikel sind die Details zu den Backdoors beschrieben. Wie es ausschaut, stecken die selben Leute hinter dieser Geschichte.
Abschließender Hinweis
Aktuell kann das Plugin-Geschehen von WordPress nur als kaputt bezeichnet werden. Es gibt keinen Mechanismus, der die Plugins deaktiviert oder dem Benutzer eine fette Warnung anzeigt. Als Betreiber einer WordPress-Seite empfehle ich, möglichst wenige Plugins zu verwenden. Diese sollten regelmäßig überprüft werden, ob der Original-Autor noch dahinter steckt. Zudem sollten Sicherheitslösungen wie die Firewall von WordFence installiert werden. Die Sicherheitsspezialisten von WordFence überwachen die Plugins und lösen eine Warnung aus, wenn Probleme bekannt werden.
Ähnliche Artikel:
Neues zu Hacks per WordPress-Sicherheitslücke
WordPress: Angriff per Redirect Hack
Massive Krypto-Mining Kampagne gegen WordPress-Sites
WordPress Botnet von WordFence geknackt – von deutschem Hacker betrieben?
Versteckte Backdoor in WordPress Captcha-Plugin gefunden
WordPress-Plugin WP-SpamShield (Pro) mit Backdoor infiziert
WordPress-Plugins: Backdoors und Sicherheitslücken
WordPress-Plugin generiert Suchmaschinen-Spam
Nachgang zu 'WordPress-Plugin generiert Spam' – deutsche Webseiten betroffen und referenzieren Escort-Dienste
Hunderte WordPress-Sites mit Backdoors in Plugins
Anzeige
