{"id":194145,"date":"2017-09-18T09:27:10","date_gmt":"2017-09-18T07:27:10","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=194145"},"modified":"2022-04-05T05:22:24","modified_gmt":"2022-04-05T03:22:24","slug":"wordpress-plugins-backdoors-und-sicherheitslcken","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/09\/18\/wordpress-plugins-backdoors-und-sicherheitslcken\/","title":{"rendered":"WordPress-Plugins: Backdoors und Sicherheitslücken"},"content":{"rendered":"

\"\"WordPress ist die letzten Tage mal wieder mit Sicherheitsl\u00fccken in Plugins aufgefallen. Zudem gibt es ein Plug-in, welches eine Backdoor in WordPress einrichtet. Zudem gibt es einige Infos zu End-Point-Firewalls f\u00fcr WordPress und zur Frage, ob sich eine Cyber-Versicherung lohnt.<\/p>\n

<\/p>\n

\"\"Ich bekomme diese Informationen von WordFence zur Verf\u00fcgung gestellt, hatte aber bisher keine Zeit, alles zu thematisieren. Diese Infos sind also nicht tagesaktuell \u2013 k\u00f6nnten aber m\u00f6glicherweise hilfreich sein.<\/p>\n

WooCommerce XSS-Sicherheitsl\u00fccke<\/h2>\n

\u00dcber Cross Site Scripting (XSS) Sicherheitsl\u00fccken lassen sich Informationen von einem in einem Browser-Tab laufenden JavaScript aus anderen Tabs abrufen. Fatal ist dies, wenn dort Anmeldedaten an Online-Konten eingegeben werden. <\/p>\n

Ende August 2017 wurde eine XSS-Scripting Sicherheitsl\u00fccke im Premium Plugin WooCommerce (bekannt als 'Product Vendors') entdeckt. Dieses Plugin wird von ca. 28 % aller WooCommerce-Shops eingesetzt. Ein Exploit ist inzwischen bekannt. <\/p>\n

Betroffen ist das Plugin Product Vendors Version 2.0.35, ab der Version 2.0.36 ist die L\u00fccke behoben. WordFence hat in diesem Blog-Beitrag Details<\/a> zur Sicherheitsl\u00fccke und zu den betroffenen Plugin-Versionen ver\u00f6ffentlicht. Das Plugin ist zuletzt im M\u00e4rz 2015 durch eine SQL-Injection-L\u00fccke aufgefallen<\/a>. <\/p>\n

Display Widgets enth\u00e4lt eine Backdoor<\/h2>\n

Das WordPress Plugin 'Display Widgets kann \u00fcber 200.000 Installationen verzeichnen. Im Plugin wurde eine Hintert\u00fcr (Backdoor) gefunden, die in Display Widgets Version 2.6.1 (Freigabe 30. Juni 2017) bis zur Version 2.6.3 (Freigabe 2. September 2017) vorhanden war. <\/p>\n

In diesem Fall gibt es einige interessante Hintergrundinformationen. So hat das Plugin vor 3 Monaten den Besitzer gewechselt und der neue Autor (mutma\u00dflich ein Brite) hat am 30. Juni Backdoor-Code hinzugef\u00fcgt. Dieser Code erlaubte es diesem, die Authentifizierung zu umgehen und mit dem Plugin Spam auf Websites zu ver\u00f6ffentlichen. Der Spam wurde vor dem Admin der Seite und jedem angemeldeten Benutzer versteckt. <\/p>\n

Die WordPress-Maintainer f\u00fcr Plugins haben dieses Plugin in der Vergangenheit bereits mehrfach wegen 'Ungereimtheiten' entfernt. Konkret: In den letzten 3 Monaten wurde das Plugin entfernt und viermal in das WordPress Plugin Repository zur\u00fcckgegeben. W\u00e4hrend dieser Zeit hatte das Plugin diese Hintert\u00fcr, die niemand bemerkte. Der neue Plugin-Besitzer nutzte diese Hintert\u00fcr immer wieder, um Spam auf betroffenen Websites zu ver\u00f6ffentlichen. <\/p>\n

Das Team von WordFence dokumentiert in diesem Blog-Beitrag<\/a> ausf\u00fchrlich diese Geschichte. Wer sich hinter dem Spam-Angriff verbirgt und wie das Plugin vom Ursprungsautor \u00fcbernommen wurde, hat das WordFence-Team hier dokumentiert<\/a>. Ein weiterer Blog-Beitrag findet sich bei Bleeping-Computer<\/a>. <\/p>\n

Weiteres: Cyber-Versicherung und End-Point-Firewall<\/h2>\n

K\u00fcrzlich habe ich hier die Information<\/a> gefunden, dass Hacker eine frisch eingerichtete WordPress-Site binnen 30 Minuten finden k\u00f6nnen. Ein Sicherheitsmonitoring einer Site ist beispielsweise \u00fcber gravityscan.com<\/a> (vom WordFence-Team) m\u00f6glich. Dort kann man (neben VirusTotal) auch pr\u00fcfen lassen, ob eine Site gehackt ist. Um sich aber vor diversen \u00dcberraschungen in WordPress zu sch\u00fctzen, bietet sich (neben einem Online-Virenscanner) die Installation einer Firewall an. Dabei gibt es zwei M\u00f6glichkeiten:<\/p>\n