Weitere WP-Plugins mit Sicherheitslücken
Ende Dezember wurde bekannt, das weitere, von WordPress verkaufte ältere Plugins mit Hintertüren im riesigen Plug-in-Angebot zu finden sind. Anscheinend ist es derzeit gang und gäbe, dass die Aufkäufer solcher Plugins den ursprünglichen Code der erworbenen Plugins zu ihren Zwecken manipulieren.
Daher musste das WordPress-Sicherheitsteam wieder aktiv werden. Die Plugins: „Duplicate Page and Post“, „No Follow All External Links“ sowie „WP No External Links“ wurden aus Sicherheitsgründen alle aus dem WordPress Plug-in Angebot entfernt. WordPress hatte diese, weniger populären Plugins, zuvor an Dritte verkauft.
Es stellte sich heraus, der in diesen drei Plugins gefundene bösartige Code dem Hintertürcode, ähnelt dem, der zuvor im CAPTCHA-Plugin gefunden wurde. Daher gehen die Sicherheitsexperten bei WordPress davon aus, dass sie alle von ein und demselben Programmierer stammen. Dies ließ sich daraus schließen, da der Hintertürcode des ersten und dritten Plugins zwei verschiedene Domains auf derselben IP-Adresse aufruft. Diese beiden Plugins wurden jeweils von Orb Online gekauft mit ähnlich formulierten Kaufanfragen. Abgesehen davon, dass der Code in allen genannten Plugins auf ähnliche Weise manipuliert war, sind alle drei von neu erstellten WordPress.org-Benutzern gekauft worden. Die Plugins enthielten außerdem alle dieselbe Hintertür zum Einspielen von SEO-Spam auf Webseiten, die das CAPTCHA-Plug-in auch verwendet hatte.
Die Masche ist bekannt
Die Masche des britischen Mason Soiza, scheint also immer dieselbe zu sein. Er kauft ältere Plugins und manipuliert sie, wohl wissend, dass sie teilweise jahrelang auf älteren WordPress Webseiten verwendet werden.
Experten raten zur Installation und Nutzung des WordFence Plugins. Es kann sehr schnell schädliche Plugins erkennen und melden. Neu gekaufte Plugins sollten generell sicherheitstechnisch analysiert werden vor der Installation. Allerdings sei die WordPress-Seite sehr Komplex und mache dies sehr schwierig, sagen die Experten. WordFence ist daher ein exzellentes Werkzeug.
Es sei ein wiederkehrendes Thema und Software sei nicht automatisch sicher, nur weil sie aus einer Open Source stammt, sagt ein anderer Sicherheitsexperte. In gewissem Maße bieten hohe Nutzerzahlen einen Sicherheitseffekt gegen bösartige Hintertüren. In solchen viel verwendeten Plugins sind die Chancen, bösartigen Code zu entdecken, viel höher.
Artikel von bleepingcomputer.com, 28.12.2017: Three More WordPress Plugins Found Hiding a Backdoor
Urheberrecht Beitragsbild: Creative Commons CC0