Kurz vor dem Jahresende 2017 wurde gemeldet, dass einige ältere durch WordPress weiterverkaufte Plug-ins nun samt Backdoors wieder unter den Plug-in-Angeboten zu finden sind. Offenbar ist es zurzeit gängige Praxis, dass die neuen Eigentümer den Plug-in Code verändern und für eigene Zwecke missbrauchen.

Es war seinerzeit tatsächlich dringend erforderlich, dass das hausinterne Sicherheitsteam von WordPress hier einschritt und folgende Plug-ins aufgrund Sicherheitsbedenken aus dem WordPress Plug-in-Sortiment entfernte: „Duplicate Page and Post“, „No Follow All External Links“ und auch „WP No External Links“. Genau diese nicht so beliebten Plug-ins, waren von WordPress kurze Zeit vorher weiterverkauft worden.

Einige Zeit danach kam ans Licht, dass der in den 3 Plug-ins eingebettete Code dem Backdoorcode ähnelte, den Experten schon einmal im CAPTCHA-Plugin entdeckt hatten. Die IT-Sicherheitsexperten von WordPress sind daher der Ansicht, dass sie von dem gleichen Programmierer erstellt wurden. Untermauert würde diese Annahme weil festgestellt wurde, dass der Backdoorcode vom ersten und dritten Plug-in zwei unterschiedliche Domains auf dergleichen IP-Adresse aufrief. Das Unternehmen Orb Online kaufte diese zwei Plug-ins und verwendete dazu auch ziemlich gleich gehaltene Kaufgesuche. Ungeachtet dessen, dass dieser Code bei sämtlichen dieser Plug-ins ähnlich verändert war, wurden sie jeweils durch neu angemeldete WordPress.org-User erworben. Alle diese Plug-ins kamen dazu noch mit der gleichen Backdoor zum Übermitteln von SEO-Spam in Webseiten, welche das CAPTCHA-Plug-in ebenfalls genutzt hatten.
Der Brite Mason Soiza wendet offenbar stets die gleiche Vorgehensweise an: Alte und unbeliebte Plug-ins aufkaufen und manipulieren und dabei genau wissend, dass diese Plug-ins oft viele Jahre lang in älteren WordPress-Seiten genutzt werden.
Sicherheitsexperten empfehlen das WordFence Plug-in zu installieren und zu nutzen. WordFence ist in der Lage, bösartige Plug-ins zu erkennen und darüber zu warnen. Usern wird empfohlen, frisch gekaufte Plug-ins zuallererst auf ihre Sicherheit hin zu analysieren, bevor sie installiert werden. Den Experten ist bekannt, dass das keine einfache Aufgabe ist, da die WordPress-Website bekanntlich recht kompliziert ist. WordFence sei deswegen ein ausgezeichnetes Tool für diese Maßnahme.

Sicherheitsexperten sind sich einig, dass Anwender nicht davon ausgehen sollten, dass ein Programm selbstverständlich sicher ist, da es aus einer Open Source Sammlung stammt. Einen gewissen Schutz gegen manipulierte Backdoors geben Plug-ins mit großen Nutzeranzahlen. Durch die Masse der Nutzer, könne bösartiger Code eher entdeckt werden.

Artikel von bleepingcomputer.com: Three More WordPress Plugins Found Hiding a Backdoor

Auch interessant: WordPress schlägt sich mit manipulierten Plug-ins herum

Noch mehr WordPress Plug-ins mit Backdoors aufgetaucht

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.