WordPress Sicherheit: Sicherheitslücke im Plug-in „Duplicator“
Ihr nutzt das WordPress Plug-In „Duplicator“? Dann sollten Ihr jetzt dringend weiter lesen, denn das Plug-In ist im Moment im Fokus, um WordPress Seiten zu infiltrieren….
Es werden dabei Backdoors in Unterverzeichnissen und im Root-Verzeichnis gesetzt, um so Zugang zu erhalten. Dabei wird zudem die wp-config.php Datei von WordPress manipuliert. In der Config-Datei wird die base64 Datei dafür verwendet verschlüsselte Anweisungen zu übermitteln. Betroffen sind Projekte, bei denen Backup (installer-backup.php und installer.php) und Duplicator Dateien (insbesondere das .ZIP Archiv, SQL und Log Dateien wie z.B. „dup-… .sql, dup-… .text“) nicht gelöscht wurden und sich nach einer Neuinstallation noch im Root-Verzeichnis befinden. Normalerweise gibt das Plug-In Duplicator nach erfolgreicher Migration einen Hinweis, dass die Installationsdateien zum Abschluss noch entfernt werden müssen. Dazu muss im Anschluss unter „Final step(s)“ der Textlink „Remove Installation Files Now“ angeklickt werden.
Euer WordPress wurde gehackt? Diese 5 Schritte solltet Ihr jetzt vornehmen!
Solltet Ihr betroffen sein raten wir Euch diese 5 Schritte zu befolgen.
Schritt 1: erstellt eine Liste mit den verwendeten Plug-Ins & Themes. Dabei könnt Ihr kontrollieren, ob auch alle Plug-Ins tatsächlich von Euch installiert wurden.
Schritt 2: sämtliche Zugangsdaten ändern
Schritt 3: Dateien, Datenbank und Serverlogs bereinigen (← wie?)
– löscht alle Dateien im Stammverzeichnis und ladet WordPress und alle anderen Plug-Ins und Themes von der offiziellen WordPress Seite (Link: https://de.wordpress.com/) neu herunter
– jede Datei überprüfen! (Java Script oder PHP-Dateien haben im Upload Ordner nichts verloren!
– prüft ob nicht sogar eine .jpg oder .png Datei als Skript ausgeführt wird.
Ist dies abgeschlossen, könnt Ihr die die wp-content/uploads wieder laden.
Schritt 4: Untersucht unter wp_users neue Nutzer die nicht von Euch angelegt wurden und entfernt diese!
Schritt 5: Kontrolliert die Datenbank und sucht nach JavaScript oder iFrames Dateien die da nicht hingehören.
Im Zweifel könnt Ihr auch die WordPress Seite komplett neu installieren und konfigurieren und Inhalte der Seite aus einem älteren Backup nutzen.
Hierbei ist zu empfehlen dies im Anschluss noch mithilfe von einem FTP- oder SSH-Programm zu überprüfen.
Noch nicht betroffen? Wir empfehlen Euch dringend ein Update durchzuführen!
Ab der Duplicator Version 1.2.42 ist die Sicherheitslücke geschlossen. Dennoch ist zu empfehlen, die Duplicator Dateien die sich im Hauptverzeichnis befinden, zu entfernen.
Allgemein ist zu empfehlen, IMMER die neuesten Updates durchzuführen und sämtliche nicht mehr benötigten Dateien, Themes oder Plug-Ins IMMER zu löschen/zu deaktivieren.
Ihr braucht Hilfe bei der Bereinigung Eurer gehackten Seite?
Wendet Euch gerne an unseren Support und wir machen Euch ein Angebot.
keine Kommentare | Kommentar schreiben