Sicherheitsprobleme im WP DSGVO Compliance Plugin

web-3

Gestern Abend erhielten wir eine E-Mail von einem Freund, in der er sagte, er habe auf einigen seiner WordPress-Websites einige neue Benutzer mit Administratorrechten gefunden und uns gebeten, es sich anzusehen.

Wir haben mit der Untersuchung begonnen und es scheint, dass die Websites etwas gemeinsam haben – das WP DSGVO Compliance Plugin.

Es sieht so aus, als gäbe es eine Sicherheitslücke im Plugin und es gab eine Reihe von Angriffen auf Websites, die dieses Plugin nutzen.

Es gibt verschiedene Stadien der Infektion:

  • Es werden Administratorbenutzer erstellt
  • Dateien wurden geändert
  • Weiterleitung zur russischen Website

Wir empfehlen Ihnen zu prüfen, ob kürzlich neue Benutzer mit dem Namen „ t3trollherten “, „ t2trollherten “ oder „ trollherten “ auf Ihrer Website erschienen sind.

Nach dem Anlegen der Benutzer veränderten Angreifer die Dateien anderer PHP-Skripte (Plugins). Beispielsweise haben wir geänderte PHP-Dateien im Akismet-Plugin-Ordner gefunden.

Auf einigen Websites haben wir diese Pastebin-URL in wp_options unter siteurl gefunden.

https://pastebin.com/raw/V8SVyu2P?

An diesem Punkt beginnt die Website zu brechen, es treten Datenbankverbindungsfehler auf oder Ihre Website wird auf eine andere Website umgeleitet, manchmal auf Russisch.

So erholen Sie sich nach dem Hack

Wenn es keine Benutzer gibt, sollte alles in Ordnung sein, Ihre Website wurde wahrscheinlich nicht angegriffen.

Um dies zu verhindern, aktualisieren Sie das WP DSGVO Compliance-Plugin auf die neueste Version. Die Entwickler haben das Problem behoben Schwachstellen in der Version 1.4.3.

Halten Sie im Idealfall alle WordPress-Plugins und Themes auf dem neuesten Stand, um möglichen Sicherheitsproblemen wie diesem vorzubeugen.

Wenn Sie diese Benutzer finden, besteht die Möglichkeit, dass sie die Website nicht infiziert haben, aber Sie können es nicht genau wissen, daher ist es wahrscheinlich am besten, eine Wiederherstellung aus einem Backup durchzuführen und dann das WP DSGVO Compliance-Plugin zu aktualisieren.

Wenn Sie über ein Sicherheits-Plugin wie Defender Pro verfügen, scannen Sie außerdem Ihre WordPress-Instanz, um festzustellen, ob sie sauber ist.

Wenn Sie die Wiederherstellung nicht durchführen können oder kein Backup haben, müssen Sie die Website manuell bereinigen:

  • Löschen Sie die böswilligen Benutzer aus der Datenbank
  • alle PHP- und JS-Dateien löschen (nur wp-content/uploads behalten)
  • Installieren Sie WordPress und die von Ihnen verwendeten Themes und Plugins neu

Wenn Sie diese Situationen vermeiden möchten, sollten Sie den Wechsel von Shared Hosting zu einem professionellen WordPress-Hosting in Betracht ziehen. Keiner unserer verwalteten WordPress-Hosting- Kunden war betroffen, alle betroffenen Websites befanden sich im Shared Hosting.

Das liegt nicht am Hosting, aber beim Managed Hosting erhalten Sie proaktive Überwachung, verwaltete Updates und können solche Situationen vermeiden.

Als wir erkannten, was vor sich ging, aktualisierten wir sofort das Plugin auf den Websites unserer Kunden, auf denen die anfällige Version vorhanden war, und führten einen automatischen Scan durch.

Wir haben auch Kunden, die bei uns hosten, aber wir verwalten ihre Websites nicht und haben keinen Zugriff auf ihre WordPress-Instanzen.

Also durchsuchen wir den Server nach dem Ordner „wp-gdpr-compliance“, um die Clients zu identifizieren, die das Plugin verwendet haben. Wir haben sie per E-Mail auf die Sicherheitslücke aufmerksam gemacht und Anweisungen gegeben, wie sie überprüfen können, ob ihre Websites gehackt wurden.

Wenn auch Sie Hilfe benötigen, zögern Sie nicht, Kontakt mit uns aufzunehmen.

Kommentare

2 Antworten zu „Sicherheitsprobleme im WP DSGVO Compliance Plugin“

  1. Simon Maddox-Avatar
    Simon Maddox

    Wir empfehlen Ihnen, Ihre Einstellungen/Allgemeines zu überprüfen.

    Es ist üblich, dass der Hacker das Flag „Mitgliedschaft: Jeder kann sich registrieren“ setzt und die Standardrolle „Neuer Benutzer“ auf „Administrator“ setzt.

    Eine einfache Möglichkeit, ihnen dauerhaften Zugriff zu gewähren, der bei einem Scan der Website nicht angezeigt wird.

Hinterlasse eine Antwort.

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *

Englisch