Die IT-Sicherheitsfirma Jetpack hat Schadcode in den WordPress-Themes von AccressPress gefunden, die Angreifenden die Möglichkeit geben, die betroffenen Seiten komplett zu übernehmen. Betroffen sind alle Themes und Erweiterungen, die direkt von der AccessPress-Seite geladen wurden.
Vollzugriff durch Schadcode
Der verdächtigte Code wurde in allen Themes und Plug-Ins, die von AccessPress angeboten werden, gefunden. Bei besagtem Code handelt es sich um einen Dropper für eine Webshell, die Angreifenden Vollzugriff auf die jeweilige Seite gibt. Der Einbruch in das System von AccessPress soll im September 2021 stattgefunden haben. Wer seitdem ein Theme oder Plug-In dieses Unternehmens installiert oder aktualisiert hat, sollte seine Seite daher schleunigst untersuchen und die betreffende Erweiterung entweder aktualisieren oder durch einen Ersatz austauschen.
Welche Themes und Plug-Ins genau betroffen sind, listet Jetpack in seiner Sicherheitsmeldung im Detail auf. Bezahlte Erweiterungen hat Jetpack jedoch nicht überprüft, weshalb diese nicht in der Liste auftauchen. Da das System von AccessPress insgesamt kompromittiert wurde, ist davon auszugehen, dass auch alle nicht gelisteten Erweiterungen betroffen sind.
Schadcode entfernen
AccessPress hat zunächst alle Erweiterungen von seiner Website entfernt. Mittlerweile werden sie nach und nach in aktualisierter Form hochgeladen. Um den Schadcode zu entfernen, müssen die betroffenen Erweiterungen – wie bereits erwähnt – von der eigenen Seite entfernt und bei Bedarf ersetzt werden. Darüber hinaus sollte nach den in der Sicherheitsmeldung genannten Modifikationen gesucht werden, um eine eventuell eingebaute Hintertür in die Kerndateien aufzuspüren. Um eine solche zu entfernen, sollte eine saubere WordPress-Version über die kompromittierte installiert werden.
Erweiterungen aus WordPress-Repositories nicht betroffen
Jetpack weist ferner darauf hin, dass der Schadcode nur in den Erweiterungen befindlich ist, die direkt über die Seite des Anbieters heruntergeladen wurden. Die gleichen Erweiterungen, die über das WordPress-Repository geladen wurden, sind hingegen nicht betroffen. Entfernt wurden sie dennoch; die neuen Versionen sind hier jedoch noch nicht erhältlich.