WordPress-Präsent: Sicherheitsloch beim RevSlider entdeckt

Schön, wenn man zu Weihnachten eine Nachricht über eine neuerliche Sicherheitslücke bei WordPress liest. Sie betrifft den RevSlider. Über den werden derzeit Webseiten zu 10000 mit Schadcode infiziert. Und das Alles hängt wohl mit der Domain wpcache-blogger.com zusammen, wo ein Script namens getlinks.php aufgerufen wird. Damit wird dem WordPress-Nutzer, der den RevSlider nutzt, ein eher nur mäßig schönes Weihnachtsgeschenk bereitet.

Die Sicherheitsleute von Sucuri machen mal wieder auf ein Sicherheitsproblem aufmerksam. WPCache-Blogger nutzt wohl mehrere Frames, über die Schadcode verbreitet wird. Einmal ist es wpcache-blogger.com selbst, dann ads.akeemdom.com und eben auch noch die IP-Adresse 122.155.168.0. Über alle drei Frames wurden Domains infiziert. Sucuri ballert da einfach mal die Zahl 50000 ins Rund. Über 12000 sollen schon von Google wegen der Verbreitung von Malware gesperrt worden sein.

Es soll sich wohl im Footer ein Aufruf von „base64_decode“ stattfinden und ein schadhafter Frame geladen werden. Lädt der Nutzer die Seite neu, dann wird Google angezeigt. Sollte dem so sein, kann man davon ausgehen, dass die Seite gehackt wurde. Und dann soll es wohl schwierig sein, das Zeug wieder loszuwerden.

Als erstes sollte man mal scannen. Ob man das alles über Sucuris Scanner machen muss, muss jeder selbst entscheiden. Dann sollte man dringend WordPress, Themes und Plugins aktuell halten. Das löst zwar nicht das aktuelle Problem, aber schließt die Tür für nachfolgende Angriffe aus der gleichen Ecke. Und nicht mal eine Neuinstallation von WordPress scheint das Problem zu lösen, weil so viele Schadcode-Quellen angezapft werden und so viele Hintertürchen geschaffen werden.

Sucuri rät dringend dazu, die eigene WordPress hinter einer Firewall zu verstecken. Natürlich preisen sie ihre eigenen Produkte an. Aber man kann auch andere Lösungen versuchen. Aber sie raten zum unbedingten Handeln. Die Bedrohungen für WordPress nehmen stetig zu. Die Nachrichten kommen in immer kürzeren Abständen. Und die Bedrohungen klingen immer größer. Ich weiß nur nicht, ob da nicht ein zu großer Teufel an die Wand gemalt wird.

Was denken Sie? Ist es besser, den eigenen Blog aktuell zu halten, was die gesamte Installation betrifft, und lieber die Installation zu überwachen? Oder soll man den Blog hinter eine Firewall stecken, ohne dass man weiß, ob es die Bedrohungen wirklich in dem genannten Ausmaß gibt? Ich bin unschlüssig.

2 Replies to “WordPress-Präsent: Sicherheitsloch beim RevSlider entdeckt”

  1. Ganz ehrlich wenn das so weiter geht dann denke ich wird wohl früher oder später jeder mal ein Opfer werden eines Hacks.

    Ich denke die wp-login mit Hilfe von einem .htaccess Passwort zu schützen reicht nicht! Mike im Castle hat auch schon mehrfach geäußert das er mit dem Passwortschutz und Limit Login Plugin trotzdem Angriffe hat und schon deswegen reicht das in meinen Augen nicht!

    Ich finde auch das Jemand externes über die eigene Webseite scannen sollte und das schneller als Google einen raus schmeist und die eigene Webseite zur Virenschleuder oder Zombie wird!

    In meinen Augen ist eine Firewall schon sinnvoll aber muss ich dafür zahlen? Wer eine Leistung erbringt der sollte auch bezahlt werden. Damit reicht das als Aussage auf eine deiner Fragen!

    Ich hatte ja etliche kostenlose Plugins getestet aber richtig warm wurde ich mit keinem außer mit Wordfence! Es deckt kostenlos schon viel ab und der Premium bedarf es nicht unbedingt! Jedoch denke ich mir der Service kostet Geld und irgendwann muss das jemand mal bezahlen. Die Funktion das ich nur noch bestimmte Länder auf die Webseite lasse ist vermutlich eine so schlechte Idee nicht! Ganz ehrlich, ich ringe mit mir GEO IP auf meiner Webseite einzuführen so das nur noch bestimme Länder meinen Blog nutzen können. Damit entgehe ich schon mal etlichen Hackangriffen aus Russland etc. ! Was mir auch auffällt aus Italien kommen bei mir auch vermehrt Angriffe.

    Meine Frage würdest du GEO IP eine Chance geben? Denkst du ich sollte das mal testen und Menschen aussperren von meinen Blog? Das entspricht zwar nicht der Freiheit Internet aber zum eigenen Schutz des Blog´s würde ich das wohl früher später machen müssen. (Angriffe könnten zwar auch aus dem eigenen Land kommen und Hacker könnten auch einen VPN nutzen aber … .)

    Wie denkst du?

    1. Tja, mit Wordfence ist das so eine Sache. Das wurschtelt irgendwie immer wieder in den Dateien des Servers rum. Bei Shared Hosting ist das eher eine blöde Idee. Denn das soll wohl laut Aussage meines Hosters auch in den Dateien anderer Webseiten auf dem Server rumfummeln. Und deshalb ist es bei meinem Hoster untersagt. Ich muss das erstmal so glauben, obwohl mir da ein wenig der Sinn dahinter fehlt. Aber etwas in der Art wird man wohl einsetzen müssen.

      Man muss zwangsläufig Leute aussperren, durch deren Zugriffe die Webseite und evtl. der Server darunter in den Abend gerissen wird. Ich suche auch nach einem probaten Mittel, Zugriffe aus Russland und China zu unterbinden. Da ist mir aber noch nicht viel sinnvolles eingefallen. Aber wenn du GeoIP testen willst, solltest du das tatsächlich mal machen. Aber sichere dich ab, dass deine Arbeit nicht verloren ist.

      Eine Firewall ist sicherlich ganz vernünftig. Darüber müsste ich mal nachdenken. Mir fiele da irgendwie nur Wordfence ein. Aus genannten Gründen scheidet das aber momentan aus. Ich recherchiere mal, welche Alternativen es gibt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert