Derzeit wird eine als sehr kritisch einzustufende Sicherheitslücke im WP GDPR Compliance Plugin ausgenutzt (100.000+ aktive Installationen).

Diese Vulnerability erlaubt es Angreifern die wp_options Tabelle zu verändern. Bei der aktuell laufenden Angriffswelle wird die Standard Benutzerrolle auf Administrator geändert sowie die Benutzerregistrierung aktiviert, um die Seite dann mit einem neu erstellten Admin Account weiter zu manipulieren.
In den bisherigen Fällen wurden Admin User mit dem Namen t2trollherten oder t3trollherten erstellt.

Die Sicherheitslücke wurde mit Version 1.4.3 behoben. Wenn Sie dieses Plugin nutzen, sollte dringend ein Update durchgeführt werden.

Im Rahmen unserer WordPress Wartungsverträge und der Security-Flatrate haben wir sämtliche Kundenseiten bereits geprüft und aktualisiert.

 

Sofortmaßnahmen bei Existenz eines unbekannten WordPress Admins

1. Unbekannten User löschen

2. WordPress Einstellungen -> Allgemein  kontrollieren

WordPress-/Website-Adresse (URL), E-Mail-Adresse, Mitgliedschaft und die Standardrolle eines neuen Benutzers.

3. Access Logs analysieren (Log Analyse Tool)

Daraus geht hervor, ob Schaddateien (Webshells/Backdoors hochgeladen und genutzt worden sind)
- in diesem Fall die wp-upd.php (oder auch oft wp-cache.php):
Analyse der WP GDPR Compliance Vulnerability

WordPress GDPR Compliance Hack

4. Datenbank (wp_posts) auf <script Injections prüfen

Export der Datenbank per phpMyAdmin oder Backup Plugin als .sql Datei -> mit Texteditor öffnen -> Suche nach "<script" -> Ergebnisse genau anschauen.
Beispiel einer von einem externen Server eingebundenen JS Datei:
datenbank script injection

 

Wenn es bis hierhin, insbesondere in den Logs, keine Auffälligkeiten gibt (upload-theme, wp-upd.php, wp-cache.php o.ä. Zugriffe) -> Glück gehabt!

Ansonsten muss die komplette WordPress Installation aus einem passenden Backup wiederhergestellt oder bereinigt/runderneuert werden.
Die Vorgehensweise ist hier beschrieben.

Der hier analysierte GDPR Compliance Plugin Hack hatte - neben der Script Injections in sämtlichen Posts - ca. 200 veränderte PHP und JS Dateien zur Folge.


WP GDPR Compliance Vulnerability Eintrag in der WPScan Datenbank:
https://wpvulndb.com/vulnerabilities/9144

Ergänzende Angebote

Kunden über uns

„Umstellung unserer Joomla Website von PHP 5.3 auf PHP 7 lief super schnell, günstig und mit tadellosem Ergebnis. Sehr gute und nette Kommunikation.“
– H. Bergmann

„Innerhalb eines Tages wurde alles extrem professionell und extrem schnell gemacht. Sehr vertrauenswürdig. Excellent. 5 Sterne“
– Fernando V.

„Ich selbst wusste mir nicht zu helfen, fand hier aber die nötige Kompetenz, um alles wieder bereinigen zu lassen. Nötige Updates und Sicherungen wurden gemacht, alles äußerst preiswert, schnell und gut!“
– Klaus-Peter

„Die Seite sieht super aus – alles wie zuvor – und das unter PHP 7.2 – ich bin beeindruckt - ganz herzlichen Dank!“
– Dr. Ingo Wuddel

„Da wir einen Onlineshop betreiben war es für uns sehr wichtig, dass unsere Seite schnell wieder im vollen Funktionsumfang für unsere Kunden zur Verfügung steht. Alle Arbeiten wurden äußerst schnell zu unserer vollen Zufriedenheit ausgeführt.“  – Löwen Handels GmbH

„Sehr schnelle, seriöse und zielführende Bearbeitung des Problems. Zusätzlich wurden mir Tipps und Strato spezifische Infos mitgegeben, um das Risiko eines Wiederkehrens des Problems zu verringern.“
– Heino B.

„Der Kontakt war besonders freundlich, einige kosmetische Zusatzarbeiten wurden - als sei es selbstverständlich - von selbst in Angriff genommen. Ich bin erleichtert und sehr dankbar.“
– R. Mayer

„Super. In einer absoluten Notlage bei Sperrung von 2 Domains durch Strato wegen Hackerangriff wurden beide Domains zunächst temporär noch am gleichen Tag wieder live geschaltet.“
– I. Radchenko

„Hervorragender Service. Problem innerhalb von 18 Stunden gelöst. Wir sind begeistert. Vielen Dank 🙏“
– Tien Sy Vuong

Website-Bereinigung.de Support Service

Telefonische Anfrage

+49 (0)2406 969796
Mo. - Fr. | 9 - 17 Uhr

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Kontaktformular

Live Support