WordPress-Lücke bedroht 100.000 Seiten – Google sperrt befallene Internetseiten

Über eine Sicherheitslücke in einem WordPress-Plugin haben Angreifer über 100.000 Webseiten infizieren können. Betroffen ist laut der Sicherheitsfirma Sucuri Security LLC eine ältere Version des Plugins „RevSlider“, das als Teil vieler WordPress-Designs für schicke Bildergalerien zuständig ist. Befallene WordPress-Installationen leiten den Nutzer automatisch auf die russische Seite „Soak Soak“ um, nach der der Hack auch benannt wurde.

 
Dort angekommen, versucht die Seite im Hintergrund, schädliche Software auf dem PC des Nutzers zu installieren. Google hat die Seite bereits in seinen Index gefährlicher Webseiten aufgenommen: Browser, die diesen Index regelmäßig abrufen und prüfen (dazu gehört der Safari-Browser, der kostenlose Firefox und auch Googles eigener Chrome-Browser) warnen den Nutzer beim Betreten der Seite – andere Browser oder ältere Versionen informieren aber nicht unbedingt über die Gefahr. Der WordPress-Virus wird oft von den Seitenbetreibern gar nicht rechtzeitig entdeckt, da dass anfällige Plugin mit zahlreichen WordPress-Paketen als Bundle mit ausgeliefert, aber gar nicht zwingend selbst eingebaut wurde. Um den Virus jetzt einzudämmen, soll Google 11.000 befallene Webseiten aus dem Suchindex blockiert haben, die vorübergehend nicht mehr in den Google Suchergebnissen angezeigt werden.

Webseiten-Scanner: Ist mein WordPress betroffen?
Der kostenlose Scanner von Sucuri prüft die eigene WordPress-Installation auf diesen Virus.
» Sucuri Malware-Scanner

Laut Sucuri Security LLC versucht ein Angreifer automatisch auf die Datei „revicons.eot“ in dem Plugin-Ordner zuzugreifen. Wenn vorhanden, wird über eine Sicherheitslücke in dem Plugin die Konfigurations-Datei des Blogs mit zahlreichen Zugangsdaten heruntergeladen und anschließend eine Backdoor installiert, mit der die Angreifer Zugriff auf den Webserver haben und weitere Malware installieren können. Abschließend wird über die Datei „swfobject.js“ dann die Weiterleitung auf die russischee Malware-Seite „Soak soak“ eingebaut. Zum Schutz der eigenen WordPress-Seite hilft es aber nicht, nur die betroffenen Dateien zu säubern oder zu entfernen, da mittlerweile Backdoors auch in anderen Ordnern der Webseite installiert worden sein könnten. Über diese hätten die Angreifer auch weiterhin Zugriff auf den Webserver. Neben einer Webseiten-Firewall sollten daher alle fremden oder vor kurzem geänderten Dateien geprüft, oder ein neues WordPress aufgesetzt werden.