Wordpress – Torstens Blog

WordPress Plugins mit Malware – Hintergrund

Die Übernahme von WordPress Plugins zu einem neuen Betreiber kann den Plugins einen neuen Schub vepassen oder komplett nach hinten losgehen. Wenn der neue Betreiber Böses im Sinn hat, kann das WordPress Plugins mit Malware oder einer Backdoor gespickt werden. Das herauszufinden ist gerade bei populären Plugins aufwendig , da man damit nicht rechnet. Zur regelmäßigen Recherche eignen sich sich allgemeine Seiten wie heise.de oder auch sepzielle Securityseiten wie der Blog von Sucuri.

So geschehen bei den Pluins:

- Fast Secure Form
- Display Widgets
- Plugins Appointments <= 2.2.2
- Flickr Gallery <1.5.3
- RegistrationMagic-Custom Registration Forms <3.7.9.3
- wp-noexternallinks >=4.2.1
- nofollow-all-external-links >=2.1.0
- duplicate-page-and-post >=4.2.1
- Captcha <4.4.5

Diese verfügen über eine Backdoor und verteilen fleißig Malware.

Was kann ich tun?

Dise Plugins müssen unbedingt gelöscht werden!!

Die Funktion kann durch Malwarefreie Plugins ersetztz werden.

Fast Secure Form -> Contact Form 7

Display Widgets -> Jetpack Widget Visibility

Diese Plugins sind getestet und in breiter Verwendung.

Folgende Plugins installiere ich immer auf den bei uns gehosteten Seiten.

Der einzige Weg sich zu schützen, ist die regelmäßige Beschäftigung mit dem Thema. Weiterhin notwendig ist das Montoring der Systeme und dem sparsamen und bedachtem Einsatz von Plugins.

Eine gute Anlaufstelle für Hintergrundinformationen ist https://www.wordfence.com/blog/.

Was mache ich, wenn mein WordPress gehackt wurde und wie erkenne ich es?

Warum wird WordPress gehackt? Ziel der Hacker ist in den seltensten Fällen die Seite ansich sondern der Zugriff auf einen Webserver. Hierüber wird dann Spam, unerwünschte Inhalte (Medikamente, Pornografie oder Plaiate) oder Malware veteilt. Und gen das muss umgehend unterbunden werden denn die Spam Reputation des Servers sinkt (landet zB auf Blacklist) und die Besucher der Webseiten riskieren eine Virenbefall ihres Rechners.

Was gib es als Anhaltspunkte?

Wenn ihr beim Kommado mailq auf dem Server eine Anzeige bekommt mit Requests >0 bzw Liste an Mails in der Queue ist das eher schlecht wenn gerade kein Mailing läuft.
Prozesse in der Prozessliste ala ./cron-php sehr verdächtig
Webseiten können nicht erwünschte Eingabefelder zum Upload von Files zeigen oder direkt Malware per Javascript verteilen.
es gibt unbekannt Benutzer im WordPress, deren Namen zB „service“ enthält

Wie gehe ich vor?

Webseiten offline nehmen oder zumindest Wartungsseite schalten
Mailq löschen
System aktualisieren
WordPress und alle Plugins sowie Themes updaten
Passwörter erneuern
Backups sichten
Wenn das Neuaufsetzen der Seite keine Option ist muss die Lücke gefunden werden.

Dies ist meist WordPress oder ein Plugin/Theme. Hilfreich sind hier WordPress Plugins wie Wordfence. Nach der Installation findet der Scan verdächtige Dateien sowie veraltete oder ungepflegte Plugins.

Check der Rechte und Eigentümerschaft auf dem Server. Es sollte keine Dateien oder Verzeichnisse geben, welche dem User runter dem der Webserver läuft gehören (www-data). Rechte müssen rigeros sein r+w nur für Eigentümer, im Ausnahmefall für die Gruppe, 777 never!

Wann das geklärt ist kommt die eigentliche Arbeit. Die Webverzeichnisse müssen nach suspekten Files gescannt werden. Hier hat sich folgendes Tool bewährt:

https://github.com/scr34m/php-malware-scanner

Die Liste muss dann händisch bearbeitet werden. Am Auffälligsten sind Dateien mit den Strings eval und GLOBAL.

Wie mache ich mir das leben als Admin einfacher.

regelmäßig updaten zb mit infinitewp
Sicherheitsplugins installieren wie Wordfence
Sicherheitsscans regelmäßig durchführen und auswerten

ein gutes Tool ist hier wpscan , welches man gegen eine Liste von Domains laufen lässt und das dann alle sichtbaren Probleme aufzeigt.

Alle unbenutzten Plugins und Themes löschen (nicht nur deaktivieren)