Trojaner in Wordprss Plugins

getDigital.de - Geek Shirts und Geek Gadgets für Computerfreaks

Malware in WordPress Plugins sind keine Seltenheit. Plugins sind Software und Software kann schädlich sein. Ähnlich wie bei Android Apps können auch bei WordPress Plugins Schwierigkeiten erst nach einem Update auftreten. Es empfiehlt sich Plugins nur zu installieren, wenn bereits ausreichend von anderen Usern getestet und bewertet wurden. Doch bei Updates bietet selbst das keine Sicherheit. Auf unseren Blogs haben wir aktuell mit einer russischen Javascript Injection zu kämpfen. Keine Sorge, das Problem scheint behoben zu sein!

Was ist passiert?

Bei Firefox wurden die eingebundenen Schadscripte einfach stillschweigend unbemerkt im Hintergrund geblockt. Das ist für normale Internetnutzer auch völlig ok und richtig so. Google Chrome hingegen schlägt deutlich Alarm beim erkennen des Versuchs die Scripte einzubinden.

Wenn Ihnen Meldungen wie die folgende beim Besuchen Ihrer Webseite bekannt vorkommen sollten Sie unbedingt aktiv werden:

Warnung: Irgendetwas stimmt hier nicht!
[Ihr Blogname hier] enthält Inhalte von yafzvancybuwmnno.ru, einer Website, die bekanntermaßen Malware enthält. Ihr Computer fängt sich möglicherweise einen Virus ein, wenn Sie diese Website besuchen.
Google hat schädliche Software gefunden, die möglicherweise auf Ihrem Computer installiert wird, wenn Sie fortfahren. Wenn Sie diese Website bereits in der Vergangenheit besucht haben oder dieser Website vertrauen, ist es möglich, dass sie vor Kurzem von einem Hacker manipuliert wurde. Sie sollten daher nicht fortfahren und den Vorgang vielleicht morgen wiederholen oder eine andere Website aufrufen.
Wir haben yafzvancybuwmnno.ru bereits informiert, dass wir Malware auf der Website gefunden haben. Weitere Informationen zu den Problemen auf yafzvancybuwmnno.ru erhalten Sie auf der Google-SafeBrowsing Diagnoseseite.

Wenn Sie zur Kenntnis nehmen, dass diese Website Ihrem Computer schaden kann, Trotzdem fortfahren.

Einer meiner Freunde, der Chrome benutzt machte mich auf den Fehler aufmerksam. Natürlich musste hier etwas getan werden.

Wie wurde der Fehler vorläufig behoben?

Zuerst haben wir den Server automatisch nach teilen der in der Fehlermeldung angegebenen URL durchsucht. Keine Chance! Hier findet man nichts. Die Angreifer dekodieren und tarnen die Domain sehr gut mit cleveren Algorithmen. Im zweiten Suchanlauf sind wir dann fündig geworden. Es handelt sich ja um schädliche Javascripts. Also haben wir eine lokale Kopie des Quelltexts infizierten der Seite angefertigt und diese mit Chrome aufgerufen. Wieder erschien die Fehlermeldung. Nun war es ein leichtes Teile des HTML-Codes Stück für Stück solange zu entfernen bis die Fehlermeldung verschwand und der schädliche Code identifiziert war. Nun galt es noch herauszufinden wieso der Schadcode überhaupt auf der Webseite ausgegeben wird. Da dieser nicht so gut wie die Schad-URL getarnt war lies sich der Code schnell auf eines der installierten WordPress Plugins zurückführen. Dieses haben wir als Maßnahme einfach deaktiviert. Ein kurzer Ausflug zu Google bestätigte den Verdacht. Auch andere User haben das Problem mit dem Plugin Social Sharing Toolkit erkannt.

Leider mussten wir heute morgen beim Besuchen der Blogs feststellen, dass mit Firefox eine komplett weiße Seite ausgegeben wurde. Der Zugang zum WordPress Admin Bereich hat noch geklappt.

Chrome sagt hierzu etwas genauer:

HTTP-Fehler 500 (Internal Server Error): Beim Versuch des Servers, die Anforderung zu verarbeiten, ist eine unerwartete Bedingung aufgetreten.

Eine Neuinstallation von WordPress über das Admin-Cp behebt das akute Problem schnell und einfach.

Weitere Plugins mit denen Probleme festgestellt wurden sind:

  • Syntax Highlighter ComPress
  • Syntax Highlighter MT

Beide Plugins sind vom gleichen Entwickler geschrieben.

Nützliche Sicherheits-Plugins

Im folgenden einige Plugins die wir als Maßnahme installiert haben. Es besteht allerdings keine langjährige Erfahrung mit den Tools. Daher kann nur ein erster Eindruck Grundlage der nachfolgenden Informationen sein.


Wordfence Scan

Dieses Plugin bietet umfassende Funktionalität. Zum einen lässt sich ein automatisches Scannen mit E-Mail Benachrichtigung bei auftretenden Problemen einrichten, zum Anderen bietet das Plugins die Möglichkeit die WordPress Installation aktiv zu untersuchen. Hierbei wird folgendes gescannt:

  • Übereinstimmungen der verwendeten WordPress Dateien mit den Originaldateien
  • Suche nach bekannter Schadsoftware
  • Suche nach verdächtigen Dateien (zum Beispiel mit URLs aus der Google SafeBrowsing List)
  • Suche nach Artikeln und Kommentaren mit URLs aus der Google SafeBrowsing List
  • Suche nach schwachen Kennworten
  • und Weiteres…

Darüber hinaus bietet das Plugin die Möglichkeit sich den Live Traffic der Seite anzuzeigen. Welchen Browser verwendet der Nutzer, aus welchem Land kommt er, wo surft er. Außerdem kann man hier IP Adressen sperren.

WordPress Backup to Dropbox

Dieses Plugin ermöglicht das automatische Erstellen von WordPress Backups in die eigene Dropbox. Gesichert werden FTP-Daten & Datenbank. Es ist Einstellbar welche FTP-Daten ignoriert werden sollen. Das Plugin speichert die Dropbox Logins nicht auf dem eigenen Server. Es nutzt eine Anbindung als Dropbox App. Hierzu muss man das Plugin bei Erstbenutzung bei Dropbox autorisieren.

Weitere Sicherheits-Plugins

Weitere Plugins zum Erhöhen der Sicherheit Ihres Blogs werden hier auf webblogs-abc.de vorgestellt.

WordPress Version verbergen

Ein kleiner Tipp zum Schluss:
Verbergen Sie Ihre WordPress Version im Quelltext Ihrer Webseite!
Hierzu reicht es aus die header Datei des verwendeten WordPress Themes zu bearbeiten. Tauschen Sie einfach die folgenden Zeilen aus:

WordPress mit Versionsausgabe im Header des Quellcodes

<meta name = „generator“ content = „WordPress <? php bloginfo (‚Version‘);?>“ />

WordPress mit verborgener Versionsangabe

<meta name=“generator“ content=“Ein WordPress Blog.“ />

Tags: , ,


7 Responses to “Trojaner in Wordprss Plugins”

  1. 1
    Tom Says:

    Jap, ich war Anfangs auch sehr unvorsichtig mit Plugins.. Immer auf die Quellen achten! Sonst kann der Spaß schneller vorbei sein als man denkt.

  2. 2
    Christian Says:

    Hallo, danke für die Hinweise, insbesondere den bzgl. Wordfence Scan . Die Problematik, dass man sich bei einem Update plötzlich Malware einfängt, war mir nicht bewusst. Bin bisher davon ausgegangen, wenn ein Plugin viele gute Nutzerbewertungen hat, wäre es auch sicher. Gruß

  3. 3
    Kathryn Says:

    Die Nutzerwertungen sagen zwar eine Menge aus, aber man sollte auch vor der Installation einfach mal schnell einen Blick in das jeweilige Forum des Plugins schauen, dort sieht man sofort, ob es vielleicht aktuell Probleme mit dem Plugin gibt.

  4. 4
    Jens Says:

    Mir ist das tatsächlich auch bei einem WP Plugin passiert. Das obwohl ich das Plugin von einem bekannten Blog gedownloadet habe. Besser vorher informieren, dann klappt es auch mit den Plugins 😉

  5. 5
    Kalle Kratzbaum Says:

    Deswegen habe ich immer einen Testblog für neue Plugins. Ich spiele sie nie direkt in die Liveumgebung ein. Zum einen kann ich sie dann ausgiebig auf Herz und Nieren prüfen. Zum anderen habe ich nicht soviel Datenmüll in der Liveumgebung. Denn nicht jedes Plugin, was man probiert, löscht sich beim entfernen sauber aus der Datenbank.

  6. 6
    Juliane Weber Says:

    Uha… Guter Tipp. Danke – da hab ich ehrlich gesagt noch nie dran gedacht, auch wenn es irgendwie logisch ist.
    Gibt es so etwas wie eine Liste bekannter Schadplugins?

  7. 7
    Böhm Says:

    Wenn ich diesen Aritkel nicht gelesen, wäre ich nie darauf gekommen, dass WP solche Sicherheiteslücken hat. Der Tipp einen WP Backup über Dropbox zu machen ist genial. Vielen Dank!

Kommentar hinterlassen