SoakSoak

Gefährliche Lücke bedroht über 100.000 Wordpress-Seiten

In dem Wordpress-Plug-in Slider steckt eine Sicherheitslücke, die es Hackern ermöglicht die Kontrolle über die Wordpress-Installation zu übernehmen. Besonders kritisch: Viele Anwender wissen überhaupt nicht, dass sie dieses Plug-in verwenden. So schützen Sie sich.

Wordpress ist nicht nur bei Anwendern die beliebteste Blog-Software. Sondern auch Hacker lieben diese auf der Skriptsprache PHP und der Datenbank MySQL basierende Gratis-Lösung zum Aufsetzen optisch ansprechender und leistungsfähiger Weblogs. Denn in Wordpress beziehungsweise in dessen PHP-MySQL-Unterbau entdecken Sicherheitsexperten ständig neue Sicherheitslücken. Auch die für Wordpress erhältlichen zahlreichen Plugins reißen oft Sicherheitslücken auf. So auch jetzt wieder.

Sucuri, ein Sicherheits-Unternehmen mit Firmenzentrale in den USA, warnt davor, dass eine Sicherheitslücke mehr als 100.000 Wordpress-Webseiten bedrohen soll. Und zwar solche Wordpress-Installationen, die das kostenpflichtige Diashow-Plugin Slider Revolution verwenden. Die Schwachstelle in dem Plugin wollen die Experten von Sucuri bereits vor einigen Monaten entdeckt haben.

Slider Revolution alias RevSlider wird mitunter im Bundle mit fertigen Wordpress-Themes ausgeliefert, so dass die Seitenbetreiber, die das Theme verwenden, überhaupt nicht wissen, dass sie auch Slider installiert haben. Hier schafft ein Blick in die Wordpress-Übersicht der installierten Themes Klarheit.

Die Sicherheitslücke

Hacker könnten diese Schwachstelle dazu ausnutzen um die Kontrolle über gesamte Wordpress-Installation und die damit erstellte Webseite zu übernehmen. Hierzu schleusen die Angreifer die Malware SoakSoak in die Wordpress-Installation ein. Diese legt neue Administratoren in der Wordpress-Installation an, mit denen die Hacker dann die Kontrolle übernehmen. SoakSoak manipuliert die Datei wp-includes/template-loader.php um weitere Malware nachladen zu können. Diese Malware ist in Javascript programmiert. Sie wird von der Domain SoakSoack.ru nachgeladen.

Google hat aus Sicherheitsgründen bereits 11.000 infizierte und mit Wordpresse erstellte Webseiten aus seinem Index entfernt, weil es darauf Malware entdeckt hat.

So schützen Sie sich

Sucuri hat einen kostenlosen Online-Scanner veröffentlicht, in dem Sie URLs eintragen können um diese unter anderem daraufhin zu überprüfen, ob SoakSoak dort bereits zugeschlagen hat.

Zum Schutz gegen SoakSoak empfehlen die Sucuri-Experten:

a) die Verwendung einer Firewall, die die Verbindung zwischen Malware und deren Servern unterbricht.

b) Noch besser ist es natürlich, wenn man das Plug-in entfernt oder

c) es auf die aktuelle Version aktualisiert - in dieser soll die Sicherheitslücke geschlossen sein. Alle Slider-Versionen vor 4.1.4 sollen von der Lücke betroffen sein.

d) Zudem müssen auf einem bereits infizierten Wordpress-System die Dateien swfobject.js und template-loader.php gelöscht werden. (PC Welt/mje)