Das WordPress ein beliebtes Angriffsziel für Hacker ist, ist eigentlich nichts Neues, aber die Angriffe erfolgen immer schneller sobald eine Lücke in einem PlugIn entdeckt wird. Eine aktuelle Malware-Attacke hat viele tausende Webseiten im Netz lahmgelegt.
Die Entwickler versuchen so schnell wie möglich zu reagieren um die Lücke im betroffenen PlugIn zu schließen, oft sind die Hacker aber schneller und erlangen unbefugten Zugriff auf die Webseite. Wie im Blogbeitrag von Wordfence, einem beliebten Security-PlugIn, zu lesen ist, hat sich diese Malware-Attacke rasend schnell im Netz verbreitet. Die Kampagne macht sich Sicherheitslücken in diversen WordPlugIns zu Nutze um Javascript-Code einzuschleusen, der dann bei Zugriff auf die Webseite diese auf andere Webseiten und PopUps mit schädlichen Inhalten umleitet. Wobei dieser Code in alle Seiten und Beiträge eingebunden wird. Zusätzlich legt der Schadcode einen Benutzer „wordpressadmin“ an der Administrationsrechte besitzt, also eine höchst gefährliche Sache.
So wurde etwa in einem populärem WordPress-Plugin namens AAM (Advanced Access Manager) in allen Versionen vor 5.9.9 eine Sicherheitslücke entdeckt, die es den Angreifern erlaubt sich unbefugt Zugriff auf die Datei „wp-config.php“ zu verschaffen, wodurch die Hacker an die Zugangsdaten für die Datenbank gelangen.
Hat man sich die oben beschriebene Malware-Attacke einmal eingefangen hilft nur zuerst das vermeintliche PlugIn mit der Sicherheitslücke ausfindig zu machen und zu deaktivieren bzw. zu aktualisieren. Kommt man durch die Umleitungen nicht mehr an die Datenbank, hilft nur mehr eine „sauberes“ Backup der Seite einzuspielen um danach sofort die Lücke zu schließen, oder aber durch den direkten Zugriff auf die Datenbank über phpMyAdmin den schädlichen Code zu entfernen. Mat, ein Kollege und Partner von uns hat dazu eine SQL-Abfrage gebastelt die den Schadcode und den falschen Admin-Benutzer aus der Datenbank entfernen kann. Es gilt natürlich in dem Code die betreffende URL entsprechend einzusetzen, wohin umgleitet wird, es grassieren hier nämlich mehrere Versionen im Netz.
Der Schadcode ersetzt auch in der WordPress-Tabelle „wp_options“ die URLs bei den Werten „Site“ und „Home“, also auch hier gilt es die ursprünglichen URL’s der Seite wieder einzutragen. Zu guter letzt sollte anschließend sofort das Kennwort zur MySQL-Datenbank geändert werden, als auch das des eigenen Administrator-Benutzers. Das ist ein wichtiger Punkt, da die Hacker anscheinend das ausgelesene Datenbank-Passwort speichern und für eine neuerliche Kampagne nutzen können.
Es sind also keine leichten Zeiten für Webseiten-Administratoren, der Aufwand die Webseite auf Stand zu halten erfordert immer mehr Aufwand und schnelle Reaktionen auf bekannt gewordene Lücken in WordPress selbst oder in verwendeten PlugIns. So hat etwa die aktuelle Version 5.2.3 von WordPress gleich sieben bekannte Lücken gegen XSS-Angriffe (cross site scripting) geschlossen.
