Sicherheit gibt es nicht – Spam-Email aus WordPress

Spam-Email von WordPress-Plugin Custom Content Type

Nach dem Update des WordPress-Plugins Custom Content Type Manager spuckte WordPress eine Flut von Spam-Emails aus – das Update des Plugins kam mit einem bösartigen Virus.

Die Rückläufer – Bounces – der Spam-Emails haben die Email-Warteschlange überlastet und die IP des Internet-Auftritts ist jetzt in diversen Blacklists.

Wenn über WordPress und Spam geredet wird – oder überhaupt über Spam – dann denken wir zuerst an Spam-Kommentare und die Flut von Spam-Email in unseren Mail-Ordnern. Outbound-Spam hingegen ist Spam, der vom eigenen Rechner oder über den Internet-Auftritt versendet wird.

Custom Content Type Manager legt benutzerdefinierte Felder an – elegant und ohne eigenen Eingriff in die Template-Dateien.

Das Update ist vor ein paar Tagen veröffentlicht worden, bei zügigen Updates war das Virus also auch sofort eingefangen. Einen Hinweis auf das Virus habe ich auf WordPress.org nicht gefunden. Selbst wenn man auf »Details ansehen« unter dem Plugin klickt, gibt es keinen Hinweis.

Auf der Plugin-Seite ebenso wenig – nur auf der Support-Seite des Plugins wird das Virus in den Beiträgen erwähnt.

This plugin has been hacked – do not use

Virus kam mit WordPress-Plugin
Nur auf der WordPress-Plugin-Seite wiesen die Beiträge auf den Virus hin, den das Update in den Internet-Auftritt geschleust hat.

Die Hintertüre weit geöffnet

Eine eingehende Beschreibung des Tathergangs und seiner Auswirkungen findet man erst auf sucuri.net:

Backdoor in Custom Content Type Manager

Spannende Geschichte – es ist ja selten, dass man herausfindet, wie ein Virus auf den Server gelangt und wie er sich dann ausbreitet.

Wie weit darf man einem Plugin trauen?

Wir haben das Virus „in Handarbeit“ über eine Suche in den Log-Dateien, Vergleich der aktuellen belasteten Version mit einem älteren Backup, einen Mail-Wrapper und eine Volltextsuche nach „eval“ lokalisiert. Als ersten Anlaufpunkt haben die Logdateien den Virus im Grunde genommen schon verraten.

Für das Plugin gibt es bereits ein Sicherheits-Update.

Aber weder das Sicherheits-Update des Plugins Custom Content Type Manager noch Deaktivieren des Plugins helfen gegen die Backdoor, die sich über das Plugin in WordPress eingepflanzt hat. Im root-Verzeichnis der WordPress ist eine wp-options.php aufgetaucht, die ein gesondertes Login auf die Seite erlaubt und die definitiv nicht zur WordPress-Installation gehört.

<label>Please enter User name</label>   <input type="text" name="username" />
<label>Please enter email</label>   <input type="text" name="email" type="email"/>
<input type="submit" name="createuser" value="Add User"/>
<input type="submit" name="replacecontent" value="Trim To Root"/>

Das ist keine »WordPress-Handschrift – diese wp-options.php hat auch keinen Vorspann.

Neue Passwörter für Benutzer, Two-Step-Login, Löschen des Plugins, Löschen der unbekannten Benutzer – das hilft alles nicht, denn durch das eingepflanzte Hintertür-Login können sich die Hacker immer wieder als WordPress-Admins anmelden.

Sicherheit gibt es nur bei einer vollständigen Neu-Installation von WordPress und sämtlicher Plugins.

How much can we trust plugins that you download from the official WordPress Plugin Directory? Das fragt der Beitrag auf sucuri.net. Wie weit kann man einem Plugin trauen?

Weniger Plugins – mehr Sicherheit

»Setzt weniger Plugins ein« ist bereits ein Ruf der Sicherheitsexperten. »10 Must-Have-Plugins« hingegen verstummt besser schleunigst.

Auf der anderen Seite hat das Plugin Updraft Plus zur schnellen Wiederherstellung der Seite beigetragen. Ein vernünftiger Obolus für die Entwickler von Plugins schafft mehr Sicherheit, dass ein Plugin weiterhin entwickelt wird und nicht in die falschen Hände gerät.

Jedes installierte WordPress-Plugin kann auf alle WordPress-Dateien in allen Verzeichnissen und auf die Datenbank zugreifen. Der Zugriff erfolgt mit denselben Rechten wie der Zugriff von WordPress selbst.

It seems that perfection is attained not when there is nothing more to add, but when there is nothing more to remove.
Antoine de Saint Exupéry

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.