{"id":258079,"date":"2021-09-27T16:15:00","date_gmt":"2021-09-27T14:15:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258079"},"modified":"2022-09-13T11:26:15","modified_gmt":"2022-09-13T09:26:15","slug":"wordpress-dsgvo-plugin-von-legalweb-io-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/27\/wordpress-dsgvo-plugin-von-legalweb-io-gehackt\/","title":{"rendered":"WordPress DSGVO-Plugin von legalweb.io gehackt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Wie es ausschaut, ist das DSGVO-Plugin f\u00fcr WordPress des Anbieters legalweb.io gehackt worden. WordPress-Installationen, die dieses Plugin eingesetzt haben, sind als kompromittiert anzusehen. Benutzer werden zu Malware-Seiten umgeleitet. Hier eine kurze Zusammenfassung, was mir bisher, auf Grund eines Leserhinweises, bekannt ist.<\/p>\n

<\/p>\n

Das WP DSGVO Tools (GDPR)-Plugin<\/h2>\n

\"\"Das Plugin ist seit dem 20. September 2021 stillgelegt, wie man auf dieser shapepress-dsgvo Plugin-Seite<\/a> von WordPress nachlesen kann. Leider ist diese Beschreibung ziemlich nichtssagend, man erkennt lediglich, dass diese Stillegung tempor\u00e4r sein soll.<\/p>\n

<\/p>\n

Hack des DSGVO-Plugin von legalweb.io<\/h2>\n

Blog-Leser Frank Z. hat mich bereits am Sonntag, den 25. Sept. 2021 per Mail kontaktiert (danke daf\u00fcr). Ein Bekannter hatte ihn kontaktierte, weil dessen WordPress-Installation gehackt worden war. Frank schrieb mir unter dem Betreff WordPress Hack mit DSGVO-Plugin von legalweb.io <\/em>folgendes:<\/p>\n

Hallo G\u00fcnter,<\/p>\n

heute hatte mich ein Bekannter angerufen dass seine WordPressseiten gehackt wurden.<\/p>\n

Es war ein Redirect zu einer anderen Seite hinterlegt. Bei Dir im Blog als erstes geschaut, aber nicht wirklich was gefunden.<\/p>\n

Hab dann mal kurz die WordPress-Datenbank der betroffenen Seiten gezogen und mal nach dem redirect Ausschau gehalten.<\/p>\n

Wurde auch schnell f\u00fcndig, es betraf das DSGVO-Tool. Kurzer Check, die Version ist eigentlich aktuell. Habe das Plugin deaktiviert und der redirect war weg.<\/p>\n

Nochmal recherchiert und das hier gefunden:\u00a0 firestorm.ch<\/a><\/p>\n

Ich mein das das einige Leute mit Ihren Seiten betrifft, das Plugin war nicht so wirklich unbeliebt.<\/p>\n

Sch\u00f6nen Sonntag<\/p><\/blockquote>\n

Die von Frank verlinkte Webseite firestorm.ch<\/a> best\u00e4tigt diese Vermutung und f\u00fchrt folgendes aus:<\/p>\n

Der Anbieter Legalweb mit seinem beliebten WordPress-Tool DSGVO Tools (GPDR) ist gehackt worden. Alle WordPress-Webseiten, die dieses Plugin verwenden, werden auf Malware-Webseiten umgeleitet. Bitte handeln Sie sofort und deaktivieren Sie das Plugin!<\/p><\/blockquote>\n

Inzwischen gibt es weitere Artikel wie diesen Beitrag<\/a>,\u00a0 die \u00fcber den Sachverhalt berichten (dort wird auf die schwedische Fassung<\/a> des Plugins verlinkt).\u00a0 Bei webhoster.de gibt es diese Warnung<\/a> vom 24. September 2021, dass einige Websites gehackt worden seien. Dort hei\u00dft es:<\/p>\n

Es wird im Plugin der google analytics code ausgetauscht. Dieser wird in der WordPress Datenbank gespeichert und gegen ein Scriptcode ausgetauscht, der ein Redirect zu einer anderen Website durchf\u00fchren soll.<\/p><\/blockquote>\n

In einem Update von heute hei\u00dft es, dass man eine Nachricht des Herstellers erhalten habe, dass alle Versionen <= 3.1.22 von dem Problem betroffen seien und es aktuell \u00fcber WordPress kein Update gibt. Das Update kann manuell beim Anbieter heruntergeladen.<\/p>\n

Erg\u00e4nzung: <\/strong>Auf dieser deutschsprachigen Webseite hier<\/a> wird ebenfalls vor dem betreffenden Hack gewarnt. Die Seite pluginvulnerabilities.com berichtet im Artikel Recently Closed WordPress Plugin With 30,000+ Installs Contains Type of Vulnerability Hackers Target<\/a> vom 22. September 2021 Details. Das Plugin soll mehr als 30.000 Installation aufweisen. In den angreifbaren Versionen gab es eine Cross-Site-Scripting-Schwachstelle (XSS) in den Einstellungen. Diese erm\u00f6glichte es einem Angreifer, JavaScript-Code auf der Website laufen zu lassen. Genau dies scheint auch passiert zu sein. Da das nicht die erste Schwachstelle im Plugin ist, wie die Seite ausf\u00fchrt, empfiehlt es sich, das Plugin rauszuwerfen.<\/p>\n

Erg\u00e4nzung 2:<\/strong> Im WordPRess Support-Bereich zum Plugin findet sich dieser Kommentar von legalweb<\/a>, wo der Hack f\u00fcr alle Versionen <= 3.1.22 best\u00e4tigt wird.\u00a0 Ich ziehe diesen Text mal heraus, falls er gel\u00f6scht werden sollte:<\/p>\n

In den Versionen <= 3.1.22 ist Angreifen gelungen, die Scripten der Integrationen zu manipulieren.
\nIn den Eingabefeldern unserer Plugins kann beliebiger Code (html, js,..) eingegeben werden. Auch Code, welcher auf eine andere Seite umleitetet.
\nDer Angreifer hat es geschafft, z.B. im Matomo Feld Code einzuschleusen, welcher auf andere Seiten weiterleitet.
\nDa Matomo ohne Einwilligung ausgef\u00fchrt werden darf, wird der Code in diesem Feld bei Besuch automatisch ausgef\u00fchrt. Somit wurde der Besucher gleich auf eine andere Seite weitergeleitet.
\nDies hat aber nicht mit Matomo zu tun, sondern h\u00e4tte bei jeder anderer Integration auch sein k\u00f6nnen.<\/p>\n

Wir haben nun eine Version, die dieses Problem l\u00f6sen soll.
\nDa wir aber gerade unter Review sind, k\u00f6nnen wir das Update zur Zeit nicht in gewohnter Form bereitstellen.
\nDiese ist unter folgendem Link downloadbar https:\/\/legalweb.io\/spdsgvo-bin\/shapepress-dsgvo.zip<\/a>
\nSobald das Review erledigt ist, kann das Plugin wieder normal upgedated werden.<\/p>\n

Wichtig<\/strong>:
\nAlle Integrationen werden sicherheitshalber deaktiviert. Bitte kontrolliert die Scripten eurer Integrationen<\/strong> (Google Analytics, Matomo, \u2026) ob es wirklich noch euer Code ist, oder ob es um einen \"Weiterleitungs-Script-Code\" handelt.
\nErst danach<\/strong> die Integration wieder aktivieren.<\/p>\n

Ihr m\u00fcsst das Zip via WordPress Plugin Installer hochladen und das bestehende Plugin damit ersetzen.<\/p><\/blockquote>\n

Erg\u00e4nzung 3:<\/strong> Beachtet die inzwischen erfolgten Nachtr\u00e4ge im Support-Bereich des Plugins, speziell von Daniel Ruf. So sind die Redirekts wohl in der Datenbank (f\u00fcr Integrationen wie Google Analytics, Mamoto, etc.) abgelegt und die Schwachstellen bei ungepatchtem Plugin werden inzwischen (seit 22.9.2021) wohl aktiv ausgenutzt.<\/p>\n

Zudem empfiehlt sich ein Blick auf die Seite\u00a0nintechnet.com<\/a>, wo weitere Plugins mit Schwachstellen aufgelistet werden.<\/p><\/blockquote>\n

Wenn ich betroffen bin<\/h2>\n

Wer das Plugin des Anbieters einsetzt, sollte dieses umgehend deaktivieren und l\u00f6schen. Dazu sind nach einer Anmeldung am WordPress-Dashboard folgende Schritte durchzuf\u00fchren.<\/p>\n

    \n
  1. Im Dashboard unter Plugins <\/em>das betreffende Plugin WP DSGVO Tools (GDPR)<\/em> deaktivieren und anschlie\u00dfend deinstallieren lassen.<\/li>\n
  2. Dann in einem FTP-Programm oder im Dashboard des WordPress-Hosters den folgenden Ordner l\u00f6schen:
    \n\/wp-content\/plugins\/shapepress-dsgvo\/<\/li>\n
  3. Pr\u00fcfen Sie im WordPress-Dashboard nun unter Einstellungen -> Allgemein die beiden Felder WordPress URL und Site Address URL, ob die richtige URL-Adresse gespeichert ist.<\/li>\n<\/ol>\n

    \"WordPress<\/p>\n

    Abschlie\u00dfend sollte man noch den Cache von Plugins mit Caching-Funktion l\u00f6schen und die WordPress-Passw\u00f6rter \u00e4ndern.<\/p>\n

    Erg\u00e4nzung 4:<\/strong> Das \u00c4ndern der WordPress-Passw\u00f6rter scheint nicht erforderlich. Aber eine Bereinigung der Datenbank um die Redirect-Anweisungen wird erforderlich, falls die WordPress-Instanz erfolgreich mit diesen Weiterleitungen angegriffen wurde (siehe auch die Diskussion zum Plugin<\/a>). Die Entwickler haben zwar ein aktualisiertes Plugin als ZIP-Archiv zum manuellen Download und zur manuellen Installation bereitgestellt. Die Frage, die sich jeder aber stellen sollte: Vertraue ich dem Plugin und dem Anbieter.<\/p>\n","protected":false},"excerpt":{"rendered":"

    [English]Wie es ausschaut, ist das DSGVO-Plugin f\u00fcr WordPress des Anbieters legalweb.io gehackt worden. WordPress-Installationen, die dieses Plugin eingesetzt haben, sind als kompromittiert anzusehen. Benutzer werden zu Malware-Seiten umgeleitet. Hier eine kurze Zusammenfassung, was mir bisher, auf Grund eines Leserhinweises, bekannt … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[4328,4349],"class_list":["post-258079","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258079","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=258079"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258079\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=258079"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=258079"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=258079"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}