Betroffene Plugins:

  • Social Warfare (Versionen 4.4.6.4 – 4.4.7.1)
  • Blaze Widget (Versionen 2.2.5 – 2.5.2)
  • Wrapper Link Element (Versionen 1.0.2 – 1.0.3)
  • Contact Form 7 Multi-Step Addon (Versionen 1.0.4 – 1.0.5)
  • Simply Show Hooks (Version 1.2.1)

Sofortige Maßnahmen und Empfehlungen

Wordfence hat das WordPress-Plugin-Team über die kompromittierten Plugins informiert. Obwohl es noch keine offizielle Antwort gibt, wurden die betroffenen Plugins aus dem Verzeichnis entfernt. Nutzer sollten die gepatchten Versionen aktualisieren, sofern verfügbar, oder die Plugins vollständig entfernen, falls kein Patch existiert.

Die injizierte Malware versucht, ein neues Administratorkonto zu erstellen und die Details an einen von Angreifern kontrollierten Server zu senden. Zudem wird bösartiges JavaScript in die Fußzeile der Website injiziert, was zu SEO-Spam führt. Die Malware ist nicht stark verschleiert, was die Entfernung erleichtert.

Anzeichen einer Kompromittierung und nächste Schritte

Das Wordfence-Team führt eine tiefere Analyse durch und entwickelt Malware-Signaturen, um diese kompromittierten Plugins zu erkennen. Der Wordfence Vulnerability Scanner benachrichtigt Benutzer, die die betroffenen Versionen ausführen.

Sofortige Schritte umfassen die Überprüfung auf unautorisierte Administratorkonten und das Durchführen eines vollständigen Malware-Scans mit dem Wordfence-Plugin oder über die Kommandozeile.

Indikatoren einer Kompromittierung:

  • Server-IP-Adresse: 94.156.79.8
  • Erstellte Admin-Benutzernamen: Options, PluginAuth

Wenn eines dieser Plugins installiert ist, betrachten Sie Ihre Website als kompromittiert und ergreifen Sie sofortige Maßnahmen. Für detaillierte Anleitungen zur Bereinigung Ihrer WordPress-Website besuchen Sie die Wordfence-Website oder melden Sie sich für deren Incident-Response-Dienste an.

Bleiben Sie wachsam und stellen Sie sicher, dass Ihre WordPress-Installationen gesichert sind, um weitere Ausnutzungen zu verhindern.

4o