Liebe Leser,<\/p>\n
Sicherheitsforscher haben vor wenigen Tagen vor einem besonders gef\u00e4hrlichen Angriff auf WordPress-Websites gewarnt. Betroffen sind mehrere weit verbreitete Plugins des Herstellers Awesome Motive, die zusammen auf \u00fcber eine Million aktiven Installationen eingesetzt werden. Der Vorfall zeigt erneut, wie wichtig regelm\u00e4\u00dfige Updates und eine kontinuierliche \u00dcberwachung von Webseiten sind.<\/p>\n
Besonders brisant: Die Angreifer haben offenbar nicht direkt einzelne Webseiten attackiert, sondern die Lieferkette der Software selbst angegriffen. Experten sprechen in solchen F\u00e4llen von einem sogenannten Supply-Chain-Angriff.<\/p>\n
Bei einem klassischen Hackerangriff wird meist versucht, direkt in eine Webseite oder ein System einzudringen. Bei einem Supply-Chain-Angriff gehen Angreifer einen anderen Weg: Sie kompromittieren die Software oder Infrastruktur eines Herstellers und verteilen den Schadcode anschlie\u00dfend \u00fcber regul\u00e4re Updates oder externe Dienste an viele Nutzer gleichzeitig.<\/p>\n
Dadurch k\u00f6nnen innerhalb k\u00fcrzester Zeit tausende oder sogar Millionen Webseiten betroffen sein, obwohl die Betreiber selbst keinerlei Fehler gemacht haben.<\/p>\n
Genau ein solcher Fall scheint nun bei mehreren WordPress-Plugins aufgetreten zu sein.<\/p>\n
Nach Angaben der Sicherheitsforscher von Sansec wurde Schadcode \u00fcber die Plugins OptinMonster, TrustPulse und PushEngage verbreitet. Besonders OptinMonster z\u00e4hlt zu den bekanntesten Marketing-Plugins f\u00fcr WordPress und wird auf einer sehr gro\u00dfen Anzahl von Webseiten eingesetzt.<\/p>\n
Andere bekannte Plugins des Herstellers wie WPForms, MonsterInsights oder All in One SEO scheinen nach aktuellem Kenntnisstand nicht betroffen zu sein. Dennoch raten die Forscher zu erh\u00f6hter Aufmerksamkeit, bis die genaue Ursache des Vorfalls vollst\u00e4ndig gekl\u00e4rt ist.<\/p>\n
Besonders gef\u00e4hrlich ist, dass die Schadsoftware nicht sofort aktiv wird. Stattdessen wartet sie gezielt darauf, dass sich ein Administrator in die betroffene WordPress-Webseite einloggt.<\/p>\n
Sobald dies geschieht, richtet die Malware heimlich ein zus\u00e4tzliches Administratorkonto ein, auf das die Angreifer Zugriff haben. Gleichzeitig wird ein weiteres Plugin installiert, das als versteckte Hintert\u00fcr \u2013 eine sogenannte Backdoor \u2013 dient.<\/p>\n
\u00dcber diese Backdoor k\u00f6nnen die Angreifer auch sp\u00e4ter noch auf die Webseite zugreifen, selbst wenn das urspr\u00fcngliche Problem bereits entdeckt wurde.<\/p>\n
Besonders perfide ist die Art und Weise, wie die Schadsoftware ihre Spuren verwischt.<\/p>\n
Das installierte Backdoor-Plugin erscheint laut den Forschern nicht in der normalen Plugin-\u00dcbersicht von WordPress. Viele Administratoren w\u00fcrden daher gar nicht bemerken, dass eine zus\u00e4tzliche Erweiterung installiert wurde.<\/p>\n
Zus\u00e4tzlich tarnt sich die Hintert\u00fcr als scheinbar n\u00fctzliches Werkzeug mit Namen wie \u201eContent Delivery Helper\u201c oder \u201eDatabase Optimizer\u201c. Dadurch wirkt sie auf den ersten Blick unauff\u00e4llig und erweckt keinen Verdacht.<\/p>\n
Die gute Nachricht ist: Die betroffenen Plugins wurden inzwischen bereinigt. Das bedeutet, dass die Entwickler den sch\u00e4dlichen Code aus den betroffenen Komponenten entfernt haben.<\/p>\n
Allerdings hilft dies nur den Webseitenbetreibern, die die aktuellen Versionen auch tats\u00e4chlich installieren. Wer weiterhin \u00e4ltere Versionen einsetzt, k\u00f6nnte weiterhin gef\u00e4hrdet sein.<\/p>\n
Dieser Vorfall zeigt eindrucksvoll, warum regelm\u00e4\u00dfige Updates zu den wichtigsten Sicherheitsma\u00dfnahmen \u00fcberhaupt geh\u00f6ren. Sicherheitsl\u00fccken und kompromittierte Software k\u00f6nnen jederzeit auftreten \u2013 entscheidend ist, wie schnell darauf reagiert wird.<\/p>\n
Betreiber von WordPress-Webseiten sollten pr\u00fcfen, ob eines der genannten Plugins installiert ist oder war. Anschlie\u00dfend sollte sichergestellt werden, dass s\u00e4mtliche Plugins sowie WordPress selbst auf dem aktuellen Stand sind.<\/p>\n
Dar\u00fcber hinaus empfiehlt es sich, die Liste der Administratoren zu kontrollieren. Unbekannte Benutzerkonten sollten umgehend untersucht und gegebenenfalls entfernt werden. Auch ein Blick auf installierte Plugins kann helfen, verd\u00e4chtige Erweiterungen zu entdecken.<\/p>\n
Wer unsicher ist, sollte seine Installation von einem erfahrenen Administrator oder Sicherheitsdienstleister \u00fcberpr\u00fcfen lassen.<\/p>\n