WP DSGVO Tools: Vor etwa zwei Tagen traten erste Meldungen auf, dass sich einige WordPress-Websites verdächtig verhalten. Beim Aufruf einer dieser verseuchten Seiten fiel mir auf, dass tatsächlich etwas nicht stimmt: es wurde auf eine Phishing-Website weitergeleitet. Angreifer hatten sich offenbar Zugang verschafft und eine Weiterleitung aufgebaut, mit der sie sensible Daten abgreifen wollen (Benutzernamen, Passwörter, etc).

Erfolglose Spurensuche

Meine erste Vermutung war, dass Angreifer den Datei-Server gehackt haben. Eine Suche ergab aber nichts: weder über den Dateiserver wurde eingestiegen, noch über andere sensible Punkte. SSH-Ports waren derweil geschlossen. Nach erfolglosem Debugging und einiger Suche, stieß ich auf den Beitrag von

„Recently Closed WordPress Plugin With 30,000+ Installs Contains Type of Vulnerability Hackers Target“

Dein Freund der Übeltäter (aka. WP DSGVO Tools)

Anscheinend ermöglicht das Plugin Cross-Site Scripting, sogenannte XSS-Attacken:

„The plugin has numerous classes that extend the class SPDSGVOIntegration. The register() function of that class makes the function viewSubmit() from those classes available through WordPress AJAX functionality to anyone logged in to WordPress as well as anyone not logged in to WordPress.“

Ein Schnittpunkt zwischen JavaScript Ajax und PHP-Code ermöglicht eingeloggten aber auch nicht eingeloggten Benutzern die Möglichkeit, Eingaben zu tätigen. Als wäre das an sich nicht schon eine Sicherheitslücke, dass Eingeloggte diese Möglichkeit haben, steht diese Möglichkeit gleich allen Nutzerinnen und Nutzern des Internets zur Verfügung.

Die Autoren von pluginvulnerabilities.com haben übrigens eine komplette Analyse gepostet, wer sich die zugehörigen Code-Auszüge anschauen möchte, kann das hier tun.

Erste Hilfe und Konsequenzen

Ironisch ist, dass das Plugin der rechtlichen Absicherung dient. Das Plugin hält automatisch das Impressum und die Datenschutzerklärung auf dem neuesten Stand. Da kann man jetzt nur spekulieren, welcher potenzielle Schaden teurer ist – Rechtsbruch oder die Folgen aus Absatzverlust, Wartung und Zeit für die Reparatur?

Letzere ist immerhin denkbar leicht: Plugin via WordPress deaktivieren oder direkt vom Server löschen und die Website funktioniert wie gewohnt. An dieser Stelle sollte jeder mit einer WordPress Website prüfen, ob das Plugin und ob die eigene Seite schon von der Phishing-Masche betroffen ist.

Eigene Meinung

Diese Sicherheitslücke gleicht einer provokaten Einladung. Die ist so offensichtlich, dass sie fast als Feature durchgeht. Welcher Entwickler aber implementiert in seiner eigenen Software ein Feature, das den Laden implodieren lässt?

Da möchte man ja fast meinen es gäbe Unternehmen, die Schadsoftware verbreiten und deren eigentliches Geschäftsmodell es ist, das Gegenmittel anzubieten. Das sei aber der eigenen Vorstellungskraft überlassen. 😉