WordPress Hack durch „ConvertPlug“ Plug-In

WordPress Hack durch „ConvertPlug“ Plug-In

Seit Ende Mai häufen sich in WordPress Foren die Beschwerden über gehackte Webseiten. Betroffene Seiten leiten plötzlich auf eine externe Seite mit massenhaft Werbung weiter oder zeigen den Inhalt einer JavaScript Datei.

Das Plugin ConvertPlug beinhaltet bis Version 3.4.1 eine gravierende Sicherheitslücke, durch die sich Dritte einen Administrator-Zugang zu eurer Webseite anlegen können

Schuld daran ist das Plugin „ConvertPlug“, welches durch eine Sicherheitslücke die Möglichkeit bietet, sich unerlaubter Weise als Administrator auf der Webseite zu registrieren. Dabei spielt es nicht mal eine Rolle ob Sie die Registrierung für Dritte ausgeschaltet haben.

Dieser Hack überarbeitet anschließend in sämtlichen Ordner auf dem FTP-Verzeichnis die index.php Datei, um dann dort in der ersten Zeile eine JavaScript Datei einzubinden.

Ungefähr so sieht die Einbindung der externen JavaScript Datei aus

Um die Webseite wieder funktionsfähig zu machen, empfehlen wir am besten ein Backup vom FTP-Server + Datenbank wieder einzuspielen und dringend das Plugin „ConvertPlug“ zu aktualisieren oder zu entfernen (Die Entwickler haben die kritische Sicherheitslücke mittlerweile geschlossen).

Solltet ihr kein Backup haben, empfehlen wir das komplette WordPress Verzeichnis herunterzuladen und in einem Editor zu öffnen, mit dem ihr mehrere Dateien gleichzeitig durchsuchen könnt (z.B. Visual Code).

Dort sucht ihr nach „developmyredflag“ und löscht alle Tags, die ihr mit diesem Inhalt finden könnt. Anschließend ist es noch wichtig, die „wp_users“ Tabelle in WordPress zu prüfen, um sicher zu gehen dass keine fremdem Benutzer dort angelegt ist. Sollten dort allerdings Benutzer auftauchen, die nicht von euch angelegt wurden, solltet ihr diese aus der Datenbank löschen. Wir empfehlen vorher unbedingt nochmal ein Backup von der Datenbank zu machen. Ist eure Webseite nun immer noch nicht aufrufbar prüft noch die Tabelle „wp_options“. Hier sollte bei den „option_name“ Einträgen „siteurl“ und „home“ in den meisten Fällen eure URL eingetragen werden. Auch hier solltet ihr anschließend das Plugin „ConvertPlug“ aktualisieren oder löschen.

Anschließend könnt ihr eure Webseite wieder wie gewohnt besuchen.

Schlagwörter: , , , , ,

Leave a Reply

Your email address will not be published.