Archive

WordPress Hack durch „ConvertPlug“ Plug-In

Seit Ende Mai häufen sich in WordPress Foren die Beschwerden über gehackte Webseiten. Betroffene Seiten leiten plötzlich auf eine externe Seite mit massenhaft Werbung weiter oder zeigen den Inhalt einer JavaScript Datei.

Das Plugin ConvertPlug beinhaltet bis Version 3.4.1 eine gravierende Sicherheitslücke, durch die sich Dritte einen Administrator-Zugang zu eurer Webseite anlegen können

Schuld daran ist das Plugin „ConvertPlug“, welches durch eine Sicherheitslücke die Möglichkeit bietet, sich unerlaubter Weise als Administrator auf der Webseite zu registrieren. Dabei spielt es nicht mal eine Rolle ob Sie die Registrierung für Dritte ausgeschaltet haben.

Dieser Hack überarbeitet anschließend in sämtlichen Ordner auf dem FTP-Verzeichnis die index.php Datei, um dann dort in der ersten Zeile eine JavaScript Datei einzubinden.

Ungefähr so sieht die Einbindung der externen JavaScript Datei aus

Um die Webseite wieder funktionsfähig zu machen, empfehlen wir am besten ein Backup vom FTP-Server + Datenbank wieder einzuspielen und dringend das Plugin „ConvertPlug“ zu aktualisieren oder zu entfernen (Die Entwickler haben die kritische Sicherheitslücke mittlerweile geschlossen).

Solltet ihr kein Backup haben, empfehlen wir das komplette WordPress Verzeichnis herunterzuladen und in einem Editor zu öffnen, mit dem ihr mehrere Dateien gleichzeitig durchsuchen könnt (z.B. Visual Code).

Dort sucht ihr nach „developmyredflag“ und löscht alle Tags, die ihr mit diesem Inhalt finden könnt. Anschließend ist es noch wichtig, die „wp_users“ Tabelle in WordPress zu prüfen, um sicher zu gehen dass keine fremdem Benutzer dort angelegt ist. Sollten dort allerdings Benutzer auftauchen, die nicht von euch angelegt wurden, solltet ihr diese aus der Datenbank löschen. Wir empfehlen vorher unbedingt nochmal ein Backup von der Datenbank zu machen. Ist eure Webseite nun immer noch nicht aufrufbar prüft noch die Tabelle „wp_options“. Hier sollte bei den „option_name“ Einträgen „siteurl“ und „home“ in den meisten Fällen eure URL eingetragen werden. Auch hier solltet ihr anschließend das Plugin „ConvertPlug“ aktualisieren oder löschen.

Anschließend könnt ihr eure Webseite wieder wie gewohnt besuchen.

WordPress, Cookies & DSGVO

Seit dem 25. Mai 2018 herrscht bei vielen Webseitenbetreibern eine enorme Unsicherheit, wenn es um die Datenschutz-Grundverordnung geht. Aber auch Webseiten-Besucher wurden zunehmend verunsichert, als plötzlich bei jedem Besuch einer Website die mittlerweile bekannten „Cookie-Hinweis-Banner“ erschienen und eine Auswahlentscheidung vom Benutzer forderten.

Immer häufiger werden auch wir kontaktiert, um genannte Banner auf Webseiten zu integrieren. Die Frage, die aber erstmal gestellt werden muss: Brauche ich so einen Hinweis? Speichert meine Website überhaupt Cookies?

Im Normalfall speichert WordPress für die Besucher eben KEINE Cookies. Cookies kommen erst dann zum Einsatz, wenn der Webseiten-Administrator sich im Backend der Seite einloggt oder eine Shoperweiterung wie WooCommerce im Einsatz ist. Um ganz sicher zu gehen, ob deine Website Cookies speichert, stellen wir dir hier zwei Tools vor: CookieBot und die Entwickler-Tools in Google Chrome.

1. CookieBot

CookieBot crawlt deine Seite (allerdings nur bis zu fünf Unterseiten) kostenlos nach Cookies und sendet dir im Anschluss eine Zusammenfassung der eingesetzten Cookies. Das ganze funktionierte in unserem Test wunderbar und nach ca. 20 Minuten erhielten wir die E-Mail mit unseren Ergebnissen.

Wie schön erwähnt überprüft CookieBot in der kostenlosen Version nur bis zu fünf Unterseiten, jedoch sollte das in den meisten Fällen reichen, da sämtliche Cookies in der Regel beim ersten Besuch einer Webseite gespeichert werden.

CookieBot sendet eine Zusammenfassung im PDF-Format an deine E-Mail-Adresse

2. Google Chrome Entwicklertools (DevTools)

Die zweite Möglichkeit seine Website nach Cookies zu untersuchen, bietet der Browser Chrome mit seinen integrierten Entwicklertools.

Als erstes öffnest du die Seite, die du untersuchen möchtest und klickst mit der rechten Maustaste auf eine beliebige Stelle deiner Website und dann auf „Untersuchen“. Alternativ kannst du auch die Tastenkombination Strg+Shift+I benutzen.

Google Chrome Entwicklertools

Nun klickst du auf den Tab „Application“. Anschließend in der linken Navigation mit einem Doppelklick auf den Punkt „Cookies“ und wählst dort deine Website aus:

Nun werden im rechten Fenster alle Cookies, inkl. Speicherort, Speicherdauer und Größe angezeigt. Sollten hier keine Cookies erscheinen, weißt du nun, dass bei dem Aufruf dieser Seite keine Cookies gespeichert werden. Wir empfehlen euch sämtliche Unterseiten zu testen, um sicher zu gehen, dass nicht irgendwelche Kontaktformulare etc. doch Cookies benutzen. Sofern du nach dem Test keine Cookie-Einträge gefunden hast, kannst du dir sicher sein, dass ein Cookie-Hinweis-Banner auf deiner Website NICHT eingesetzt werden muss.

Unsere Seite speichert für den Besucher keine Cookies:

Wir speichern keine Cookies für Webseitenbesucher

Als Administrator (eingeloggter Benutzer) werden natürlich Cookies gespeichert. In dem Fall, dass Cookies eingesetzt werden, liefert die Konsole der Entwicklertools folgende Auflistung:

Cookie Werte wurden hier aufgrund von persönlichen Informationen unkenntlich gemacht.

Fazit

Möchtet ihr schnell und ohne Aufwand wissen, welche Cookies auf eurer Website eingesetzt werden empfehlen wir definitiv CookieBot. Der Service ist übersichtlich, einfach zu bedienen und ihr müsst euch um nichts weiter kümmern, als die URL zu eurer Website und eure E-Mail-Adresse anzugeben. Wer allerdings seine Website selbst unter die Lupe nehmen möchte, kann mithilfe der Entwicklertools von Google Chrome eine übersichtliche und informative Auflistung der verwendeten Cookies bekommen.

Kennt ihr noch weitere Dienste, die dabei helfen die Cookies der eigenen Website aufzulisten? Schreibt uns gerne in die Kommentare. Wir freuen uns auf neue Möglichkeiten und Hinweise.