WordPress: Vorsicht vor dem Custom Content Type Manager

Cyber Cyber – Es gibt schon wieder offene Lücken in WordPress. Das Plugin Custom Content Type Manager mutiert zur Malware, die Zeug sendet. So nutzt das Plugin ein Hintertürchen und funkt darüber Anmelde-Informationen an Server von irgendwelchen kriminellen Leuten. Es ist echt langsam nicht mehr auszuhalten. Wo man geht und steht: Überall grinsen dem Internet-Nutzer, Smartphone-Nutzer oder Webseiten-Betreiber irgendwelche Kriminelle an. Das Internet ist kein Spielplatz mehr, sondern Kriegsschauplatz.

Der Custom Content Type Manager ist mir nicht bekannt. Ich will ja auf Plugins verzichten, wo es nur geht. Und an diesem Plugin sieht man, dass das gar keine so blöde Idee ist. Und dieses Plugin gehört zu den beliebten Plugins bei WordPress. Ist das Zeugs nun zum Schadcode mutiert, hat das fatale Folgen. Im Support-Bereich des Plugins steht hierzu, dass die Version 0.9.8.9 sicher sei. Wer auch immer dieses Plugin benutzt, sollte es dringend aktualisieren. Im Changelog des Plugins lesen wir dazu folgendes:

Reverted all changes made to the plugin from versions 0.9.8.7 and 0.9.8.8. Those versions contained malicious code. This version is identical to 0.9.8.6.

Also alle Änderungen der letzten beiden Unterversionen des Plugins wurden rückgängig gemacht, da sie Schadcode enthielten. Und damit hat man nun zwei Schritte rückwärts getan. Wer also die Version 0.9.8.6 im Einsatz hat, müsste vielleicht auch gar nichts machen. Aber es heißt ja, dass man unter anderem seine Plugins aktuell halten soll, weshalb die Chance groß ist, dass trotzdem jede Menge Schadcode in den letzten Tagen verbreitet wurde. Das Plugin wurde vom WordPress Plugin Directory Team übernommen und nun überprüft.

Ob man eine kompromittierte Version des Plugins nutzt, stellt man fest, wenn man das Verzeichnis wp-content/plugins/custom-content-type-manager/ aufruft. Dort würde sich eine Datei namens auto-update.php befinden. Und in dieser wird auf die URL http : // wordpresscore . com / plugins / cctm / update / verwiesen, von der nachträglich Dateien und Inhalte nachgeladen werden.

Alles begann wohl mit einer Version, die vom neuen Inhaber wooranker am 18. Februar hochgeladen wurde. Lediglich kleine Anpassungen soll es gegeben haben. Aber die sind weitaus größer, als dieser wooranker jemals hätte bekannt geben wollen. So wurden fragwürdige JavaScript-Dateien nachgeladen, was niemals per Plugin passieren soll. Und so gibt es jede Menge Hinweise darauf, was wooranker da alles gemacht hat.

Es sieht nach gefährlich viel krimineller Energie aus. Man hat wohl festgestellt, dass mit dem Custom Content Type Manager nicht nur eine Hintertür – also eine Backdoor – geschaffen wurde. Es wurde fragwürdiger Code geladen, von seltsamen Ressourcen wurde Code nachgeladen, Benutzerdaten wurden entwendet. Man male sich aus, was da alles passieren kann. Der Account von wooranker ist aber glücklicherweise inzwischen vom WordPress Plugin Directory Team gesperrt worden.

Die Mutter aller Fragen ist doch, wem überhaupt getraut werden kann. Wenn schadhafte Apps in App Stores der mobilen Betriebssysteme vorhanden sind und auch Verschlüsselungs-Trojaner gegen Webseiten eingesetzt werden, fragt man sich wirklich langsam, was man im Internet noch soll. Als Webseiten-Betreiber kann man aber Flagge zeigen und ein Sicherheitssiegel des eco-Verbandes einblenden, wenn die eigene Seite sauber ist. Das sieht dann so aus wie bei mir in der Seitenleiste.

Ob nun aber der Custom Content Type Manager wirklich sauber ist, wage ich doch stark zu bezweifeln. Ich habe zu dem oben genannten Vorfall auch gelesen, dass das Plugin eigentlich nicht mehr weiter betreut wurde und sich dann eben jener wooranker den Zugang zum Plugin verschafft hat und die zusätzlichen Dateien, die die eigentliche Schadsoftware betreffen, eingefügt hat. Aus diesem Grund bin ich mir nicht sicher. Ich würde das Plugin auf keinen Fall nutzen. Das ist nur ein Bauchgefühl. Und das hat mich selten im Stich gelassen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert