0 6614

Heute mal ein sehr aktuelles Problem, mit dem sich jeder WordPress Betreiber auseinandersetzen sollte:

Die IT-Security Firma Sucuri hat einen Beitrag veröffentlicht, dass über 100.000 WordPress Webseiten mit der SoakSoak Malware infiziert wurden.

Die Nachricht ist erst ein paar Tage alt.

Der Angriff zielt auf das Revslider Plugin ab. Dieses Plugin wird sehr häufig in Premium Themes eingesetzt.

Es ist ein Premium Slider Plugin.

Als vorsichtiger und gewissenhafter WordPress User aktualisiert man regelmäßig seine Plugins. Man denkt: Ich bin immer auf dem neuesten Stand. Mir kann so etwas nicht passieren. Weit gefehlt.

Das Problem an Premium Plugins ist, dass man im Gegensatz zu „freien“ Plugins oftmals KEINE Aktualisierungsbenachrichtigung erhält. Das bedeutet, dass Plugins unter Umständen sehr veraltet sind und vielleicht sogar Sicherheitslücken enthalten, die in neuen Versionen geschlossen, aber der Hacker Community durchaus bekannt sind.

Was macht eigentlich die SoakSoak Malware?

SoakSoak schreibt Code um. Durch diesen Code werden Besucher der Webseite auf eine infizierte Webseite umgeleitet, die dann Viren auf den Rechner des Besuchers lädt.

Es modifiziert die Datei wp-includes/template-loader.php und fügt dort folgenden Code ein:

<?php
function FuncQueueObject()
{
  wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');

Dieser Code wiederum ruft auf jeder Seite die Datei wp-includes/js/swfobject.js auf, in der sich
die Umleitung auf die infizierte Seite befindet.

Wenn Du in der template-loader.php den obigen Code entdeckst, wurde Deine Seite wahrscheinlich gehackt.

Du solltest dann umgehend die Infizierung beseitigen.

Was kann ich Euch mit auf den Weg geben?

Prüft ob Eure WordPress Plugins alle aktuell sind. Kontrolliert bei gekauften Themes, ob sich darin Premium Plugins befinden. Checkt die Aktualität dieser Plugins. Das solltet Ihr ab sofort regelmäßig machen, sonst könnte auch bei Eurer Domain schnell eine Sperre des Providers kommen oder von Google ein „Vorsicht, diese Seite verbreitet Malware!“

Ich hoffe, ich konnte Euch ein wenig helfen.

Author: Andreas Lang

Sphinx-Flashdesign.de

Andreas Lang hat im Alter von 12 Jahren begonnen, auf einem Atari ST 1040 STFM in Omikron und STOS Basic zu programmieren.
Spiele interessierten ihn nicht so sehr.
Die Welt der Bits und Bytes hat ihn gefangen.
Programmierertechnisch folgten auf dem ersten 486er Turbo Pascal, Visual Basic.
Mit dem ersten Internet Anschluss per 56k Modem folgten HTML, Javascript, CSS und Macromedia Flash. Die Website www.wizzquiz.de wurde geboren.
Eine Flash Online-Gaming Plattform mit Quiz Spielen, Memory, Sokoban etc.
Später entwickelte er Software unter anderem für Continentale und Siemens AG.
Seit zwei Jahrzehnten konzentriert er sich auf die Webentwicklung und Webdesign mit dem Schwerpunkt PHP, Laravel und Javascript und betreut seine Kunden mit Herz und Seele in allen Bereichen von Entwicklung, Design, Suchmaschinenoptimierung, IT-Recht, IT-Sicherheit etc.