News

DSGVO-Plugin für WordPress: Schwerwiegende Schwachstelle entdeckt

Mit der WordPress-Erweiterung „WP GDPR Compliance“ wollen sich aktuell mehr als 100.000 Webseitenbetreiber gegen datenschutzrechtliche Abmahnungen sichern. Sie haben ihre Webseiten durch die Installation des Plugins DSGVO-konform gestaltet – gleichzeitig haben sie Angreifern mit dem Plugin jedoch eine offene Türe ins Backend ihrer Seite geschaffen.

Die Sicherheitsfirma Wordfence meldet, dass Außenstehende über das Plugin Zugang zum Backend erhalten und so Einstellungen der WordPress-Installation nach Belieben ändern können. Im Extremfall könnte der Angreifer nach dem Zugriff auf die Installation einen neuen Benutzeraccount anlegen und zum Administrator erklären. Anschließend könnte er sich auf herkömmlichem Wege einloggen und weitreichende Änderungen vornehmen.

Installiert er in der Position des Administrators eine Erweiterung, die eine Webshell enthält, könnte er sogar Zugriff auf den gesamten Server erlangen. Laut Wordfence ist diese schwerwiegende Schwachstelle des Plugins bereits ausgenutzt worden. In diesen Fällen wurde ein Nutzer mit dem Namen „t2trollherten“ angelegt. Außerdem wurden Webshells mit dem Namen „wp-cache.php“ angelegt.

Wer das Plugin nutzt, sollte seine WordPress-Installation dringend überprüfen. Seit dem 7. November steht zudem eine neuere Version des Plugins zur Verfügung, in der die Schwachstelle behoben wurde. Es gilt nun also, sicherzustellen, dass die neueste Version des Plugins schnellstmöglich installiert wird. Wurde die Schwachstelle bereits ausgenutzt, sind weitere Maßnahmen zu ergreifen. Da das Plugin jedoch nicht besonders gut programmiert ist, sind andere Lücken zu erwarten. Es sollte sich somit nach einer anderen Lösung umgesehen werden.

Simon Lüthje

Ich bin der Gründer dieses Blogs und interessiere mich für alles was mit Technik zu tun hat, bin jedoch auch dem Zocken nicht abgeneigt. Geboren wurde ich in Hamburg, wohne nun jedoch in Bad Segeberg.

Ähnliche Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"