Skip to main content
WordPress Dashboard - (C) Pixelcreatures via pixabay.de WordPress Dashboard - (C) Pixelcreatures via pixabay.de

Schadcode in Themes für WordPress Blogs

Für WordPress werden Unmengen von Themes angeboten, um die Seite nach etwas aussehen zu lassen. Mit denen gibt es aber Ärger. Plötzlich stehen Themes für WordPress – ja, auch für Drupal und Joomla – in Verdacht, Schadcode huckepack mitzubringen. Und hier bekomme ich einen Anfall, wenn ich so eine Hinterlist sehe. Ernsthaft, damit ist nicht zu spaßen.

Nehmen wir einmal an, Sie nutzen ein Them ABC vom Anbieter XYZ. Angeblich soll es ein Premium-Theme sein, also Geld kosten. Sie wollen es testen und installieren es bei sich auf der Seite. Ihnen gefällt es, und sie lassen es laufen. Nach einer Weile bekommen Sie Post von Ihrem Hoster, dass wegen Ihrer Webseite der Webserver darunter infiziert wurde und Sie aufgefordert werden, Ihre Seite zu löschen und neu zu installieren.

So oder so ähnlich kann es sein, was da in diesen Tagen die Runde macht. Einen mir bekannten Blogger hat es auch getroffen. Es handelt sich dabei um eine Datei „social.png“, die sich im Themes-Ordner -> Theme -> Images befindet. Wenn eine solche Datei vorhanden ist, kann diese ein Bild sein. Sie kann aber auch eine Datei mit verstecktem PHP-Code sein. Und dieser Code ist CryptoPHP und kann dann, wenn er aufgerufen wurde, den gesamten Webserver infizieren und zu einem Mitglied in einem Bot-Netz machen.

In etwa so ist die Geschichte. Wenn ich jetzt nicht genau getroffen habe, worum es geht, bitte ich um Nachsicht. Jedenfalls habe ich bei mir gleich mal geschaut, ob ich Ungemach zu befürchten habe. Hinweise sind – soweit ich weiß:

  • Das Vorhandensein einer social.png in <web>/wp-content/themes/images
  • Ein Funktionsaufruf in der functions.php des Themes, der wie folgt aussieht

include

Natürlich habe ich bei mir auch geschaut. In meinem aktuell aktiven Theme ist weder die Datei noch der Funktionsaufruf vorhanden. Wobei: Bei dem Aufruf bin ich mir nicht sicher. Aber ich hab mal weiter geschaut. Ich habe ein wenig im Hintergrund mit Themes gespielt, weil ich irgendwann mal ein richtiges Aussehen wie ein Magazin haben will. Und dort fand ich eine social.png, die aber leer war. Sicherheitshalber habe ich das Theme sofort entfernt.

Sollten die Anzeichen richtig sein, dann befindet sich im WordPress-Theme „Expound“ Schadcode. Das kann ich aber nicht zweifelsfrei feststellen. Ich habe nur vorsichtshalber das komplette Theme wieder entfernt, bevor irgendwas passiert. Glücklicherweise hatte ich das Theme nicht aktiv im Einsatz.

Heise schreibt dazu, dass etliche Webserver infiziert sind, weil auf denen WordPress mit einem angeblich raubkopierten Theme läuft. Nach Fox-IT-Angaben sind wohl weltweit 23000 Webserver betroffen. Die meisten befallenen Server stehen wohl in Deutschland und der Niederlande. Das ist ein ernsthaftes Problem, wenn man sich das mal richtig überlegt.

Aber wenn es sich um angeblich raubkopierte Themes handeln soll, dann erkläre man mir mal folgendes: Aufgrund der social.png habe ich ja „Expound“ in Verdacht. Das ist ein kostenfreies Theme. Es fehlt der Funktionsaufruf, ja. Aber wenn es zu den Themes gehört, mit denen man so etwas praktiziert, warum ist es dann ein kostenfreies Theme? Will man da über die Hintertür irgendwas erreichen? Das wäre ja richtig hinterlistig. Aber wie gesagt: Alles unter Vorbehalt, ich habe keinen Nachweis dafür.

Jedenfalls ist es hochgradig hinterlistig, was da passiert. Es wirkt schon kriminell, was da mit der social.png passiert. Schauen Sie einfach mal, ob Sie auch betroffen sind. Damit scheint nicht zu spaßen zu sein.

Verteilen Sie diese Erkenntnis doch einfach wie 0 andere auch

Henning Uhle

Henning Uhle ist gelernter Fachinformatiker für System Integration und zertifizierter System Engineer. Meine Sachgebiete sind Messaging & Collaboration sowie High Availability und Domain-Verwaltung. Ich schreibe über verschiedenste Dinge, die mich bewegen. Und es handelt sich immer um meine Sicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.