Mit der WordPress-Erweiterung „WP GDPR Compliance“ wollen sich aktuell mehr als 100.000 Webseitenbetreiber gegen datenschutzrechtliche Abmahnungen sichern. Sie haben ihre Webseiten durch die Installation des Plugins DSGVO-konform gestaltet – gleichzeitig haben sie Angreifern mit dem Plugin jedoch eine offene Türe ins Backend ihrer Seite geschaffen.
Die Sicherheitsfirma Wordfence meldet, dass Außenstehende über das Plugin Zugang zum Backend erhalten und so Einstellungen der WordPress-Installation nach Belieben ändern können. Im Extremfall könnte der Angreifer nach dem Zugriff auf die Installation einen neuen Benutzeraccount anlegen und zum Administrator erklären. Anschließend könnte er sich auf herkömmlichem Wege einloggen und weitreichende Änderungen vornehmen.
Installiert er in der Position des Administrators eine Erweiterung, die eine Webshell enthält, könnte er sogar Zugriff auf den gesamten Server erlangen. Laut Wordfence ist diese schwerwiegende Schwachstelle des Plugins bereits ausgenutzt worden. In diesen Fällen wurde ein Nutzer mit dem Namen „t2trollherten“ angelegt. Außerdem wurden Webshells mit dem Namen „wp-cache.php“ angelegt.
Wer das Plugin nutzt, sollte seine WordPress-Installation dringend überprüfen. Seit dem 7. November steht zudem eine neuere Version des Plugins zur Verfügung, in der die Schwachstelle behoben wurde. Es gilt nun also, sicherzustellen, dass die neueste Version des Plugins schnellstmöglich installiert wird. Wurde die Schwachstelle bereits ausgenutzt, sind weitere Maßnahmen zu ergreifen. Da das Plugin jedoch nicht besonders gut programmiert ist, sind andere Lücken zu erwarten. Es sollte sich somit nach einer anderen Lösung umgesehen werden.