Angriffe auf WordPress-Plugin

Eine massive Welle von Angriffen auf WordPress gab es in der ersten Septemberwoche,  erklärt Defiant, Anbieter der Wordfence-Web-Firewall. Der plötzliche Anstieg der Angriffe erfolgte, nachdem Hacker eine Zero-Day-Schwachstelle in „File Manager“, einem beliebten WordPress-Plugin, das auf mehr als 700.000 Websites installiert ist, entdeckt und ausgenutzt hatten.

Bei der Zero-Day-Schwachstelle handelte es sich um eine nicht authentifizierte Schwachstelle beim Datei-Upload, die es einem Angreifer ermöglichte, bösartige Dateien auf eine Website hochzuladen, auf der eine ältere Version des Datei-Manager-Plugins lief.

Es ist unklar, wie Hacker den Zero-Day entdeckt haben, aber seit Anfang dieser Woche suchen sie nach Websites, auf denen dieses Plugin installiert sein könnte. Wenn eine Sondierung erfolgreich war, nutzten die Angreifer den Zero-Day aus und luden eine Web-Shell getarnt in einer Bilddatei auf den Server des Opfers hoch. Die Angreifer würden dann auf die Web-Shell zugreifen und die Website des Opfers übernehmen und sie in ein Botnetz einbinden.

„Die Angriffe auf diese Schwachstelle haben in den letzten Tagen dramatisch zugenommen“, sagte Ram Gall, Bedrohungsanalyst bei Defiant. Die Angriffe begannen langsam, verstärkten sich aber im Laufe der Woche, wobei Defiant allein am Freitag, dem 4. September, Angriffe gegen eine Million WordPress-Sites verzeichnete. Insgesamt, so Gall, habe Defiant seit dem 1. September, als die Angriffe erstmals entdeckt wurden, Angriffe auf mehr als 1,7 Millionen Websites blockiert.

Die 1,7 Millionen sind mehr als die Hälfte der Zahl der WordPress-Sites, die die Wordfence-Web-Firewall verwenden. Gall glaubt, dass das wahre Ausmaß der Angriffe noch viel größer ist, da WordPress auf Hunderten von Millionen von Websites installiert ist, die wahrscheinlich alle nach und nach durchsucht und gehackt werden.

Die gute Nachricht ist, dass das Entwicklerteam des Dateimanagers noch am selben Tag, an dem es von den Angriffen erfuhr, einen Patch für den Zero-Day erstellt und veröffentlicht hat. Einige Website-Eigentümer haben den Patch installiert, aber wie üblich hinken andere hinterher.

Es ist diese Langsamkeit beim Patchen, die das WordPress-Entwicklerteam kürzlich dazu veranlasst hat, eine Auto-Update-Funktion für WordPress-Themen und -Plugins hinzuzufügen. Beginnend mit WordPress 5.5, das letzten Monat veröffentlicht wurde, können Website-Eigentümer Plugins und Themen so konfigurieren, dass sie sich jedes Mal automatisch aktualisieren, wenn ein neues Update herauskommt, und sicherstellen, dass ihre Websites immer die neueste Version eines Themas oder Plugins ausführen und vor Angriffen geschützt sind.