6 WordPress-Plugin-Schwachstellen, die von Hackern missbraucht wurden

Kein Content-Management-System (CMS) ist so beliebt wie WordPress. Es ist ein unbestrittener Champion in seiner Nische und hat einen beeindruckenden Marktanteil von 63,5 Prozent am CMS-Markt. Darüber hinaus laufen 37 Prozent aller Websites im Internet mit WordPress.

Mit seinem flexiblen Rahmen, der sich praktisch in jeden Online-Kontext einfügt – von kleinen persönlichen Blogs und News-Outlets bis hin zu Websites, die von großen Marken betrieben werden – ist es keine Überraschung, dass dieses CMS seit Jahren für Furore im Bereich des Web-Ökosystems sorgt.

Was halten Cyberkriminelle von diesem Hype-Zug? Sie haben es erraten – sie springen gerne auf diesen Zug auf. Im Gegensatz zu Webmastern ist ihre Motivation jedoch weit weniger gutartig.

Der Silberstreif am Horizont ist, dass der WordPress-Kern durch regelmäßige Schwachstellen-Patches aus verschiedenen Blickwinkeln gut abgesichert ist. Das WordPress-Sicherheitsteam arbeitet mit vertrauenswürdigen Forschern und Hosting-Unternehmen zusammen, um eine sofortige Reaktion auf neue Bedrohungen zu gewährleisten. Um den Schutz zu erhöhen, ohne sich auf die Update-Hygiene der Website-Besitzer zu verlassen, führt WordPress seit der 2013 veröffentlichten Version 3.7 automatische Hintergrund-Updates durch.

Die schlechte Nachricht ist, dass Plugins von Drittanbietern eine leichte Beute für böswillige Akteure sein können. Es überrascht nicht, dass Plugins mit vielen aktiven Installationen eine größere Verlockung darstellen. Indem sie sie ausnutzen, können diese Akteure eine Abkürzung nehmen und die potenzielle Angriffsfläche erheblich vergrößern.

Die kürzlich in beliebten WordPress-Plugins gefundenen Lücken reichen von Fehlern in Bezug auf Remote-Ausführung und Privilegienerweiterung bis hin zu Cross-Site-Request-Forgery- und Cross-Site-Scripting-Fehlern.

Mehr von unseren ExpertenbeiträgenEs gibt 5 grundlegende Unternehmertypen. Which 1 Are You?

File Manager

Anfang September stießen Forscher des finnischen Webhosting-Anbieters Seravo auf eine Sicherheitslücke im File Manager, einem WordPress-Plugin, das auf mindestens 600.000 Websites installiert ist. Dieser als Zero-Day-Schwachstelle eingestufte kritische Fehler ermöglichte es einem nicht authentifizierten Angreifer, auf den Verwaltungsbereich zuzugreifen, bösartigen Code auszuführen und fragwürdige Skripte auf jede WordPress-Website hochzuladen, auf der File Manager-Versionen zwischen 6.0 und 6.8 installiert sind.

Der Hersteller des Plugins hat nur wenige Stunden nach der Meldung dieser Sicherheitslücke eine gepatchte Version (File Manager 6.9) veröffentlicht. Laut der Statistik der aktiven Versionen des Dateimanagers wird diese Version jedoch nur auf 52,3 Prozent der WordPress-Sites verwendet, auf denen das Plugin läuft. Das bedeutet, dass mehr als 300.000 Websites weiterhin gefährdet sind, weil ihre Besitzer das Plugin nur langsam auf die neueste gepatchte Version aktualisieren.

Als White Hats diese Schwachstelle entdeckten, wurde sie bereits in realen Angriffen ausgenutzt, die versuchten, schädliche PHP-Dateien in das Verzeichnis „wp-content/plugins/wp-file-manager/lib/files/“ auf ungesicherte Websites hochzuladen. Zum Zeitpunkt der Erstellung dieses Artikels wurden mehr als 2,6 Millionen WordPress-Instanzen auf veraltete Dateimanager-Versionen untersucht.

Außerdem scheinen verschiedene Cyberkriminelle Banden einen Krieg um Websites zu führen, die nach wie vor niedrig hängende Früchte darstellen. Eines der Elemente dieser Rivalität besteht darin, ein Passwort für den Zugriff auf die Plugin-Datei „connector.minimal.php“ festzulegen, die in ungepatchten File Manager-Versionen ein primärer Ausgangspunkt für die Remotecodeausführung ist.

Mit anderen Worten: Sobald die Bedrohungsakteure in einer anfälligen WordPress-Installation Fuß gefasst haben, blockieren sie die ausnutzbare Komponente, damit sie von anderen Kriminellen, die möglicherweise ebenfalls über eine Hintertür auf dieselbe Website zugreifen, nicht mehr verwendet werden kann. Apropos: Analysten haben beobachtet, dass Versuche, Websites über den Fehler im Dateimanager-Plugin zu hacken, von sage und schreibe 370.000 verschiedenen IP-Adressen ausgingen.

Page Builder

Das Page Builder WordPress-Plugin von SiteOrigin hat über eine Million Installationen. Anfang Mai machte der Sicherheitsdienstleister Wordfence eine beunruhigende Entdeckung: Diese äußerst beliebte WordPress-Komponente ist anfällig für eine Reihe von Cross-Site-Request-Forgery (CSRF)-Schwachstellen, die als Waffe eingesetzt werden können, um erhöhte Rechte auf einer Website zu erlangen.

Die fehlerhaften Funktionen des Plugins, „Live Editor“ und „builder_content“, ermöglichen es einem Angreifer, ein neues Administratorkonto zu registrieren oder eine Hintertür zu öffnen, um nach Belieben auf eine verwundbare Website zuzugreifen. Wenn ein Hacker geschickt genug ist, kann er diese Schwachstelle ausnutzen, um eine Website zu übernehmen.

SiteOrigin hat innerhalb eines Tages nach dem Hinweis auf diese Schwachstellen eine Korrektur herausgegeben. Die Schwachstelle wird sich jedoch weiterhin überall bemerkbar machen, bis Webmaster den Patch anwenden – leider dauert dies in der Regel recht lange.

GDPR Cookie Consent

Dieses Plugin ist eines der Schwergewichte im WordPress-Ökosystem, das auf mehr als 800.000 Websites installiert ist und aktiv genutzt wird. Es ermöglicht Webmastern, die Allgemeine Datenschutzverordnung (GDPR) der Europäischen Union durch anpassbare Cookie-Benachrichtigungen einzuhalten.

Im vergangenen Januar stellten Sicherheitsexperten fest, dass GDPR Cookie Consent Version 1.8.2 und frühere Versionen eine schwerwiegende Sicherheitslücke aufwiesen, die es böswilligen Akteuren ermöglichte, Cross-Site-Scripting (XSS)- und Privilegienerweiterungsangriffe durchzuführen.

Der Fehler ebnet einem Hacker den Weg, um beliebige Inhalte auf einer ausnutzbaren WordPress-Website zu ändern, zu veröffentlichen oder zu löschen, selbst wenn er Abonnentenrechte besitzt. Ein weiteres negatives Szenario besteht darin, schädlichen JavaScript-Code einzuschleusen, der Weiterleitungen verursacht oder Besuchern unerwünschte Werbung anzeigt. Die gute Nachricht ist, dass der Entwickler, WebToffee, am 10. Februar eine gepatchte Version veröffentlicht hat.

Duplicator

Mit über einer Million aktiver Installationen und insgesamt 20 Millionen Downloads steht Duplicator auf der Liste der 100 besten WordPress-Plugins. Seine Hauptfunktion ist die Migration oder das Klonen einer WordPress-Site von einem Ort zu einem anderen. Außerdem ermöglicht es Website-Besitzern, ihre Inhalte einfach und sicher zu sichern.

Im Februar haben Wordfence-Sicherheitsanalysten eine Schwachstelle ausgemacht, die es einem Angreifer ermöglicht, beliebige Dateien von Websites herunterzuladen, auf denen Duplicator Version 1.3.26 und älter läuft. So konnte ein Angreifer diesen Fehler ausnutzen, um den Inhalt der Datei „wp-config.php“ herunterzuladen, die unter anderem die Anmeldedaten des Website-Administrators enthält. Glücklicherweise wurde der Fehler zwei Tage, nachdem die Schwachstelle dem Hersteller gemeldet wurde, gepatcht.

Site Kit by Google

Ein schwerwiegender Fehler in Site Kit by Google, einem Plugin, das auf über 700.000 Websites aktiv genutzt wird, ermöglicht es einem Angreifer, die zugehörige Google Search Console zu übernehmen und die Online-Präsenz der Website zu stören. Indem sich ein böswilliger Akteur über diese Schwachstelle unbefugten Zugriff verschafft, kann er Sitemaps ändern, Seiten aus den Google-Suchergebnissen streichen, schädlichen Code einspeisen und Black-Hat-SEO-Betrügereien inszenieren.

Eine der Facetten dieser Lücke besteht darin, dass das Plugin die Nutzerrollenprüfungen grob einbaut. Darüber hinaus wird die URL, die Site Kit zur Kommunikation mit Google Search Console nutzt, offengelegt. In Kombination können diese Unzulänglichkeiten Angriffe begünstigen, die zu einer Privilegienerweiterung und den oben erwähnten Post-Exploitation-Szenarien führen.

Die Sicherheitslücke wurde von Wordfence am 21. April entdeckt. Obwohl der Plugin-Autor am 7. Mai eine aktualisierte Version (Site Kit 1.8.0) veröffentlicht hat, ist diese derzeit nur auf 12,9 Prozent (etwa 90.000) der WordPress-Sites installiert, die Site Kit nutzen. Daher müssen Hunderttausende von Website-Besitzern es noch anwenden, um sicher zu sein.

InfiniteWP Client

Dieses Plugin hat mehr als 300.000 aktive Installationen aus einem Grund: Es ermöglicht Website-Besitzern, mehrere Websites von ihrem eigenen Server aus zu verwalten. Die Kehrseite dieser Vorteile ist, dass ein Angreifer in der Lage sein könnte, die Authentifizierung über eine kritische Schwachstelle zu umgehen, die von WebARX im Januar entdeckt wurde.

Um einen solchen Angriff zu starten, könnte ein Hacker fehlerhafte InfiniteWP-Client-Funktionen namens „add_site“ und „readd_site“ ausnutzen. Da diese Funktionen nicht über angemessene Authentifizierungskontrollen verfügen, könnte ein Angreifer eine speziell gestaltete Base64-kodierte Nutzlast nutzen, um sich bei einem WordPress-Administrator-Dashboard anzumelden, ohne ein gültiges Passwort eingeben zu müssen. Der Benutzername des Administrators würde ausreichen, um Zugang zu erhalten. Ein Update, das diese Schwachstelle behebt, wurde bereits am nächsten Tag nach der Entdeckung veröffentlicht.

Was man dagegen tun kann

Plugins erweitern die Funktionalität einer WordPress-Website, können aber auch ein zweifelhafter Segen sein. Selbst die beliebtesten WordPress-Plugins können Schwachstellen aufweisen, die verschiedene Arten von Betrug ermöglichen, die zur Übernahme der Website und zum Datendiebstahl führen können.

Die gute Nachricht ist, dass die Plugin-Autoren schnell auf diese Schwachstellen reagieren und Patches bereitstellen. Diese Updates sind jedoch nutzlos, wenn Website-Besitzer nicht ihre Hausaufgaben machen und sichere Praktiken befolgen.

Die folgenden Tipps helfen Ihnen dabei, zu verhindern, dass Ihre WordPress-Website zur tief hängenden Frucht wird:

  • Aktualisierungen anwenden. Dies ist die grundlegende Gegenmaßnahme für WordPress-Hacks. Stellen Sie sicher, dass auf Ihrer Website die neueste Version des WordPress-Kerns läuft. Genauso wichtig ist es, Updates für Ihre Plugins und Themes zu installieren, sobald sie verfügbar sind.
  • Verwenden Sie sichere Passwörter. Legen Sie ein Passwort fest, das so zufällig wie möglich aussieht und aus mindestens 10 Zeichen besteht. Fügen Sie Sonderzeichen ein, um die Hürde für Angreifer zu erhöhen, die versuchen könnten, Ihre Authentifizierungsdaten zu erzwingen.
  • Befolgen Sie das Prinzip der geringsten Privilegien. Geben Sie autorisierten Benutzern nicht mehr Rechte, als sie benötigen. Die Rolle des Administrators oder Redakteurs könnte für einige Benutzer überflüssig sein. Wenn die Berechtigungen als Abonnent oder Mitwirkender ausreichen, sollten Sie diese beibehalten.
  • Beschränken Sie den direkten Zugriff auf PHP-Dateien. Hacker können speziell gestaltete HTTP- oder GET/POST-Anfragen an PHP-Komponenten Ihrer Plugins und Themes senden, um die Authentifizierungs- und Eingabevalidierungsmechanismen zu umgehen. Um diese Angriffe zu verhindern, legen Sie Regeln fest, die eine Fehlerseite auslösen, wenn solche Versuche unternommen werden.
  • Entfernen Sie inaktive Benutzer. Gehen Sie die Liste der auf Ihrer Website registrierten Benutzer durch und entfernen Sie inaktive Konten.
  • Deaktivieren Sie die Benutzeraufzählung. Um zu verhindern, dass Angreifer die Liste der Benutzer Ihrer Website einsehen und versuchen, deren Konfigurationsfehler auszunutzen, gehen Sie zur .htaccess-Datei und deaktivieren Sie dort die Benutzeraufzählungsfunktion.
  • Fügen Sie ein Sicherheits-Plugin hinzu. Vergewissern Sie sich, dass das Plugin mit einer Web Application Firewall (WAF) ausgestattet ist, die verdächtigen Datenverkehr überwacht und gezielte Angriffe blockiert, die auf bekannte und Zero-Day-Schwachstellen zurückgreifen.