Das Plugin Convert Plus hatte eine Sicherheitslücke, bei welcher sich Angreifer einen neuen Benutzer erstellen konnten. Die Rolle des neuen Benutzer konnte der Angreifer mit der Wahl der Rolle festlegen, weshalb natürlich die Administrator-Rechte vergeben wurden. Mit der Version 3.4.3 wurde diese Lücke geschlossen. Den Changelog von Convert Plus findest du hier.
Convert Plus ist ein praktisches Plugin, welches oft von Seiten eingesetzt wird um neue Teilnehmer, Abbonenten oder Leads zu generieren. Dies schafft es mit praktischen Wimpeln, Pop-Ups oder Slide-Ins, die zum eintragen in Listen animieren sollen. Mit rund 100.000 aktiven Installationen ist es sehr verbreitet. Das Plugin kann auch automatisch bzw. vorinstalliert mit deinem Theme kommen. Unter deinen installierten Plugins solltest du es jedoch jederzeit finden, solltest du unsicher sein.
Nun zur Sicherheitslücke im Detail: Alle Versionen unter und einschließlich 3.4.2 sind betroffen. Die Pluginautoren raten umgehend auf die gepatchte Version 3.4.3 zu updaten, welche am 29. Mai veröffentlicht wurde.
Um neue Benutzer zu geniereren, können in Convert Plus Formulare angelegt werden, welche je nach Kampagne auch unterschiedliche Benutzerrollen mit sich bringen können. Die Funktion zum Anlegen des neuen Nutzers stellt zwar nur sinvolle Rollen, mit entsprechend geringer Berechtigung (z.B. Abonnent) Verfügung, jedoch kann hierüber auch der Administrator vergeben werden.
Eine kleine Video-Demonstration des Angriffs hat Wordfence veröffentlicht.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von Vimeo.
Mehr erfahren
Wie du siehst ist der Benutzer in kürzester Zeit angelegt und kann direkt genutzt werden. Vom WordPress-Backend aus hat der Angreifer dann potenziellen Zugriff auf das gesamte System und kann es für weitere Zwecke entfremden. Du solltest sofort die dubiosen neuen Admins, welche eher ungewöhnliche Mail-Adressen (mit Endungen wie: @8chan.co, @yandex.ru, @airmail.cc) haben sofort löschen und sicherheitshalber auch Passwörter ändern. Hier sollten die Benutzer und auch die Datenbank einbezogen werden. Solltest du auf der Seite persönliche Daten speichern, musst du auch den Datenschutz einbeziehen und entsprechende Maßnahmen einleiten.
Solltest du also betroffen sein, prüfe ausführlich, was sich an deiner Seite verändert hat. Wenn dir Änderungen auffallen, recherchiere nach diesen Auffälligkeiten und bereinige sie. Installiere alternativ dein Backup der Seite, um sicher zu gehen. Du hast keins? Dann sind diese Zeilen -JETZT- die Aufforderung dir eins zu erstellen, und gewappnet zu sein. 😉
Aktuelle Lücken in Plugins zeigen immer wieder, wie wichtig Sicherheit ist. Gerade bei einem bekannten CMS wie WordPress solltest du also auch einen Gedanken für Maßnahmen an deiner Website investieren, bevor es zu spät ist.