Breite Attacke auf Wordpress

Nach übereinstimmenden Meldungen wurden in den vergangenen Tagen gleich reihenweise mit Wordpress erstellte Websites gehackt. Schien sich die Attacke zunächst nur gegen Websites zu richten, die von dem US-Unternehmen DreamHost gehostet werden, ist mittlerweile klar, dass auch Blogs auf GoDaddy, Bluehost und Media Temple betroffen sind. Zudem seien nach unbestätigten Aussagen von WPSecurityLock auch andere PHP-basierte Management-Systeme wie die eCommerce-Lösung Zen Cart von dem Angriff betroffen.

Allen infizierten Seiten scheinen Skripte hinzugefügt worden zu sein, die dem Anwender nicht nur Malware unterschieben, sondern unter anderem auch verhindern, dass etwa auf Googles Safe-Browsing-API beruhende Browser wie Firefox und Google Chrome beim Aufruf der Seite Alarm schlagen. Trifft Googles Search-Bot auf eine so präparierte Seite, liefert diese einfach harmlosen Code aus. Neu sind solche Browser-Weichen nicht, bislang nutzen Entwickler sie jedoch eher, um an den Internet Explorer und Firefox unterschiedlichen Code aufgrund unterschiedlicher Funktionen auszuliefern

Momentan rätseln die Experten noch, welche Lücke konkret bei dem Großangriff ausgenutzt wurde. Sicher scheint bislang nur, dass das Problem nicht bei Wordpress liegt, da ansonsten noch wesentlich mehr Seiten infiziert wären. Uneinigkeit herrscht hingegen bei der Frage, ob die Sicherheitslücke nur bei älteren Wordpress-Versionen auftritt: Während Todd Redfoot als Chief Information Security Officer ausdrücklich darauf hinweist, dass Kunden ein Update auf die neueste Wordpress-Version durchführen sollten, weist David Dede in seinem "Sucuri Security"-Blog eindeutig darauf hin, dass auch Seiten mit der neusten Wordpress-Fassung von der Attacke betroffen seien.

Dede hat in seinem Blog eine nach eigenen Angaben einfache und wirkungsvolle Lösung veröffentlicht, mit der betroffene Kunden ihre Websites wieder von der Malware reinigen können. (nij)