Ausgerechnet ein Datenschutz Plugin als Ziel von Hackerangriffen: Mitarbeiter des Sicherheitsunternehmens Wordfence haben im GDPR Compliance Plugin (GDPR = englische Bezeichnung für DSGVO) der Wordpress Version 1.4.2 eine gravierende Sicherheitslücke entdeckt, die die Veränderung wichtiger CM-Einstellungen ermöglicht und den Datenschutz bei Wordpress gefährdet. Bereits Mitte Oktober wurde entdeckt, dass es möglich ist, Skripte in das Plugin einzuschleusen. Wordfence hat die betroffenen Webseiten bereits ausfindig gemacht und das GDPR Compliance Plugin aus dem offiziellen Verzeichnis entfernt. Die Hackerangriffe haben erst Anfang November stattgefunden. Um eine weitere Verbreitung zu vermeiden, ist es nun wichtig, schnell zu handeln!
DSGVO Plugin als Ziel von Hackerangriffen
Das WP GDPR Plugin war dafür gedacht, dass Betreiber ihre Webseite an die Vorgaben der Datenschutzgrundverordnung (DSGVO) anpassen und damit DSGVO-konform die Webseite betreiben können. Das Plugin sollte eine sichere Verarbeitung von personenbezogenen Daten und damit den Datenschutz bei Wordpress garantieren und fand auch großen Anklang: Es wurden eine halbe Millionen Downloads und rund 10.000 aktive Installationen gezählt . Eine Sicherheitslücke wurde nun jedoch aktiv ausgenutzt.
Wo besteht die Sicherheitslücke?
Das Problem im WP GDPR Compliance Plugin war die Aktion save_setting, bei der nicht geprüft wird, ob sie mit den notwendigen Rechten ausgeführt wird . Mit der Aktion update_option ist darüber hinaus die Durchführung beliebiger Aktionen möglich . Auf diese Weise kann die wp_options-Tabelle verändert werden, um sich Administratoren-Rechte zu verschaffen : Die Hacker konnten ihr neu angelegtes Benutzerkonto auf Administrator setzen und die Webseite somit manipulieren – zum Beispiel indem sie neue Konten erstellen oder beliebige Eingaben tätigen. Im schlimmsten Fall können die Hacker den Server übernehmen, wenn sie eine infizierte Webshell-Erweiterung installieren.
Die Gefahr besteht somit darin, dass Hacker im WP GDPR Plugin nicht nur Schadsoftware, Malware oder Spamlinks einrichten, sondern auch auf personenbezogene Daten wie Kontodaten oder Passwörter zugreifen und diese in eine Datenbank hochladen können und den Datenschutz bei Wordpress massiv gefährden. Was die Hacker mit diesen Daten genau vorhaben, ist bislang nicht bekannt.
Betroffen sind die Versionen 1.4.2 und älter. Mit dem Update vom 7. November konnte Wordpress die Sicherheitslücke beheben und den Datenschutz wiederherstellen. Ältere Versionen werden aber weiterhin angegriffen. Aus diesem Grund ist eine Aktualisierung auf die aktuelle Version dringend notwendig.
Wie erkenne ich, ob meine Webseite betroffen ist?
Um zu sehen, ob die eigene Webseite gehackt wurde, ist es wichtig, die angelegten Wordpress Nutzer zu überprüfen. Die angegriffenen WP-User fanden in der Installation des WP GDPR-Plugins folgende Namen:
- t2trollherten
- t3trollherten
Zudem haben die Betreiber folgende E-Mail-Adressen erkannt:
- trollherten@mail.com
- t3trollherten@bk.ru
Zusätzlich fand sich eine Datei mit böswilligem PHP-Code im Root-Ordner in der WordPress-Installation mit dem Namen wp-cache.php . Was diese Anwendung genau macht, ist allerdings nicht ganz klar. Die WP-Cron-Funktion des GDPR-Plugins wurde also genutzt, um das Plugin „2MB Autocode“ einzurichten. Auf diese Weise konnte die Schadsoftware auf den Server geschmuggelt werden.
Was tun, wenn meine Webseite betroffen ist?
Falls Ihre Seite von dem Hackerangriff betroffen sein sollte, ist es wichtig, folgende Maßnahmen zu ergreifen:
- Update auf die neueste Version
- Wordfence-Plugin installieren und einen Scan durchführen (Scan-Intensität: hoch)
- Unbekannte oder verdächtige WordPress-User löschen:
- in eigene Seite einloggen
- im WordPress-Dashboard auf Benutzer -- alle Benutzer klicken
- um Nutzer zu löschen: diesen in der Auswahlbox links markieren und dann oben im Aktions-Drop-Down "Mehrfachaktionen" die Option „löschen“ klicken
- Datenbank auf