Alert!

Wordpress: FĂĽnf Plug-ins mit Malware unterwandert

In fĂĽnf Wordpress-Plug-ins haben IT-Sicherheitsforscher dieselbe eingeschleuste Malware entdeckt. Nur fĂĽr eines gibt es ein Update.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen
Lupe auf der Website Wordpress.com

(Bild: Postmodern Studio/Shutterstock.com)

Lesezeit: 3 Min.
Von

In fĂĽnf Plug-ins fĂĽr das Content-Management-System Wordpress haben IT-Forscher von Wordfence den gleichen Schadcode aufgespĂĽrt. Nur fĂĽr eines der betroffenen Plug-ins gibt es eine Aktualisierung, die die Malware entfernt. Die anderen Plug-ins sollten deinstalliert werden.

In einem Blog-Beitrag schreibt Wordfence, dass am Montag dieser Woche das Plug-in Social Warfare durch einen Foren-Post auffiel, in dem das Wordpress Plug-in Review Team berichtete, dass am Samstag dort bösartiger Code eingeschleust wurde. Bei der Untersuchung des Plug-ins fanden die IT-Forscher von Wordfence vier weitere Plug-ins, in denen der betreffende Schadcode enthalten war.

Ein bösartiger Akteur hat den Quellcode verschiedener Plug-ins kompromittiert und Code eingeschleust, der Zugangsdaten zur Datenbank exfiltriert sowie genutzt wird, um neue, bösartige Administratorkonten anzulegen und diese Daten zu einem Server zu senden. Das schreibt Wordfence in den CVE-Eintrag zu Lücke (CVE-2024-6297, noch kein CVSS-Wert und keine Risikoeinstufung). Im Blog-Beitrag ergänzen die IT-Forscher, dass dabei offenbar auch bösartiger Javascript-Code im Footer der Webseiten landet, der SEO-Spam in die Seite einbaut.

Die folgenden Plug-ins sind mit der Malware infiziert:

Von Social Warfare gibt es eine gepatchte Version, 4.4.7.3 soll bereinigt sein. In Wrapper Link Element scheint Wordfence zufolge jemand den Schadcode entfernt zu haben, jedoch ist die jĂĽngste verfĂĽgbare Version 1.0.0, deren Versionsnummer kleiner als die der infizierten Versionen ist. Die Plug-ins ohne verfĂĽgbares Update sollten Webseitenbetreiber daher deinstallieren.

Den Download der Plug-ins hat Wordpress inzwischen blockiert. Wer die Plug-ins installiert habe, müsse seine Instanz als kompromittiert betrachten und sollte Notfallmaßnahmen zum Eindämmen von IT-Sicherheitsvorfällen ergreifen. Dazu gehört etwa das Prüfen auf Administratorkonten in Wordpress und das Löschen von nicht autorisierten Konten und der Untersuchung der Installation auf Schadcode und gegebenenfalls dessen Entfernung.

Aufgrund der Vielzahl von Wordpress-Plug-ins finden IT-Forscher täglich welche mit Sicherheitslücken. Im April entdeckten Wordfence-Mitarbeiter etwa im Plug-in Layerslider eine Schwachstelle. Sie galt als kritisch und erlaubte Angreifern, eigene SQL-Befehle einzuschleusen.

(dmk)