Sicherheitsnotiz – Schadplugin für WordPress

Seit kurzer Zeit geht eine Phishingwelle um, die sich besonders an WordPress-Administratoren richtet, also jene Leute, die WordPress nur technisch betreuen und jene, die es selbst betreuen und damit Bloggen. Die Phishing Mail soll dazu verleiten, eine kostenlose Pro-Version (Premium) des allseits beliebten All in One SEO Pack zu installieren.

Was ist das All in One SEO Pack? Wozu wird es gnutzt?

Das All in One SEO Pack ist ein Plugin um den Blog durch Seitenbeschreibungen, Tags und Titel (Überschrift) den Blog für Suchmaschinen freundlicher zu gestallten. Dadurch erhöht sich die Chance, bei Google und Co. in der Trefferliste weiter nach vorn zu gelangen. Hiervon gibt es eine kostenlose Version und eine, die man bezahlen muß. Die kostenpflichte Pro-Version umfasst einige Funktionen mehr als die kostenlose. Natürlich ist in der Pro-Version auch besserer Support enthalten.

Was hat es mit der Phihing-Mail nun auf sich?

Die Phishing-Mail bietet WordPress-Administratoren und Bloggern die kostenplfichtige Pro-Version von All in One SEO Pack kostenlos zum Download an. Klackert man auf den Downloadlink in der Mail, so wird man nicht auf die offizielle Plugin-Seite von WordPress geleitet,

http://wordpress.org/plugins/

sondern landet auf einer von Spammern infizierten Seite in Australien oder Brasilien mit den Domainkürzeln *.com *.au oder *.br. Ab hier sollte man bereits das Hirn einschalten und stutzig werden.

Laut der Sicherheitsfirma Sucuri haben bereits einige deren Kunden das Plugin installiert. Und hierbei wird es kriminell. Mit dem Plugin installiert man sich einen Schadcode, der eine Hintertür im Server öffnet und die index.php der betreffenden WordPress-Blogs austauscht. Ab diesem Zeitpunkt ist es möglich, daß Ganoven beliebigen Code in den Blog ihres Opfers einschleusen können, mit dem man die Rechner der Besucher der infizierten Blogseite angreifen kann. Manche Versionen des Schadcodes leiten die Besucher beispielsweise auf Pornoseiten oder andere Server weiter, die weitere Maleware verbreiten.

Fazit

WordPress ist eine beliebte Blogsoftware und daher weit verbreitet. Durch die hohe Verbreitung von WordPress ist es auch ein beliebtes Angriffsziel um Schadcode zu verbreiten oder Spam zu verschicken. Als Blogger der WordPress verwendet oder Administrator für die technische Betreuung für WordPress sollte man dieses natürlich von Anfang an gut absichern. Hierzu findet man im Netz seitenweise Tutorials und How to’s. Auch sollte man Plugins von der offiziellen WordPress-Seite nutzen und nicht irgendwelche dubiosen Angebote aus irgendwelchen Quellen, die mal irgendwer (unbekanntes) per Mail verschickt. Klar können sich auf der Plugin-Seite von WordPress auch dubiose Angebote finden, die Wahrscheinlichkeit ist hier geringer, denn die Community darf hier Bewertungen abgeben und die Zuätzlichen Funktionen auseinandernehmen und überprüfen.

Links

http://wordpress.org/plugins/ Offizielle Seite für WordPress Plugins