TheDigitalArtist / Pixabay

WordPress: Schwachstelle in DSGVO-Plugin wird von Hackern ausgenutzt

Über den Unsinn mit dem aktuellen Stand der DSGVO brauchen wir nicht diskutieren. Schwammige Gesetzeslage, fehlende Richtlinien für Blogger und Websitebetreiber führen dazu, dass man sich prophylaktisch absichern möchte. Das weitverbreitete WP GDPR COMPLIANCE PLUGIN ist nun auch noch Ziel eines Hackerangriffs geworden.
Bitte beachte: Dieser Beitrag ist mehr als 3 Jahre alt. Manche Links, Preise, Produkte und Aussagen sind vielleicht nicht mehr aktuell!

Tatsächlich war auch meine Seite von diesem Hack betroffen. Unter den WordPress Benutzern waren auf einmal zwei neue Accounts mit den Namen t2trollherten und t3trollherten zu finden, die auch Adminstrations-Rechte hatten. Zum Glück wurde ich sofort nach der Erstellung der beiden Benutzer darüber informiert, dass neue User angelegt wurden und konnte sofort reagieren:

  1. Löschen verdächtiger neuer Admin-Benutzer
  2. Deaktivierung des WP GDPR Compliance Plugins
  3. Prüfung, ob Dateien kompromittiert wurden
  4. Überprüfung der Log-Files auf verdächtige Aktionen
  5. Überprüfung der wp_posts Tabelle in der Datenbank auf verdächtige Javascripte
  6. Vorsichtshalber die Rücksicherung eines WordPress Backups von letzter Woche

Sehr hilfreich war, dass ich seit längere Zeit das Plugin Wordfence https://www.wordfence.com/ im Einsatz habe, das viele Sicherheitsfunktionen bietet. Darunter auch, dass es die Ausführung von Dateien im Upload-Verzeichnis verhindert. Genau das ist nämlich das Ziel des Angriffs auf das WP GDPR Compliance Plugin: Die Hacker laden eine Webshell auf den Server, mit deren Hilfe sie den Server vollständig übernehmen können.

Diese Webshell befindet sich wohl meistens im Uploads-Verzeichnis und ist als WordPress-Datei mit den Dateinamen wp-cache.php oder wp-upd.php getarnt. Beide Dateien waren in meiner WordPress-Installation nicht zu finden. Bei vielen Betroffenen WordPress-Betreibern ist sie aber wohl unter /wp-content/uploads/2018/11/ zu finden.

Wenn man einen SSH-Zugang zum Server hat, kann man innerhalb der WordPress Installation mit dem Linux-Befehl

find ./ -name wp-upd.php

bzw.

find ./ -name wp-cache.php

nach entsprechenden Dateien suchen und sie ggf. löschen.

Man kann außerdem einmal nach allen Dateien suchen, die innerhalb der letzten 7 Tage neu angelegt wurden:

Der nachbelichtet-Newsletter

Alle Beiträge und exklusive Infos kostenlos per Mail erhalten - wie über 10.000 andere treue Leser!

Ich akzeptiere die Datenschutzrichtlinien.
Kein Spam - versprochen! Und du kannst dich jederzeit wieder abmelden! 
find ./ -mtime -7 | less

(das | less bewirkt, dass ihr mit der Leertaste Seitenweise durch das Suchergebnis scrollen könnt). Alternativ könnt ihr mit diesem Befehl die Ausgabe in eine Textdatei schreiben, diese auf euren Rechner herunterladen und mit einem Editor eurer Wahl (z. B. Notepad ++ oder VSCode) studieren und auswerten:

find ./ -mtime -7 > ergebnis.txt

Mittlerweile gibt es ein Sicherheits-Update für das WP GDPR Compliance Update (Version 1.4.3), das ihr unbedingt einspielen müsst – oder ihr verzichtet ganz auf dieses Plugin.

Einen hilfreichen Beitrag mit diversen Anleitungen zum WP GDPR Plugin Hack findet ihr hier: https://website-bereinigung.de/blog/wp-gdpr-compliance-sicherheitsluecke

 

Die mit Sternchen (*) gekennzeichneten Verweise sind sogenannte Provision-Links. Wenn du auf so einen Verweislink klickst und über diesen Link einkaufst, bekomme ich von deinem Einkauf eine Provision. Für dich verändert sich der Preis nicht und du unterstützt damit meine Arbeit. Preisänderungen und Irrtümer vorbehalten.

Das interessiert dich auch

4 Kommentare

  1. Das geht auch ohne überladenes „Sicherheitsplugin“ mit den richtigen Servereinstellungen bspw. über die .htaccess – Datei…

  2. Hi und an dieser Stelle vielen Dank für deine oft sehr informativen und hilfreichen Beiträge. WordPress.com ist davon aber nicht betroffen? Hilft die 2-Schritte-Authentifizierung gegen solche Angriffe?

    Nette Grüße, Conny

  3. Hallo und vielen Dank für Deinen Beitrag, sehr hilfreich!

    Ich wurde zwar nicht über dieses Plugin angegriffen, jedoch wurde auch bei ein Angriff über Shell vorgenommen und ein Admin-User angelegt. Sehr ärgerlich.

    Würdest Du mir verraten, an welcher Stelle im genannten Plugin diese Funktion aktiviert werden kann: „Darunter auch, dass es die Ausführung von Dateien im Upload-Verzeichnis verhindert.“

    Oder ist das eine Premium Funktion?

    Danke und Grüße
    Arndt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert