• IT-Karriere:
  • Services:

Wordpress: Sicherheitsproblem bei Dateiverwaltungs-Plugin

Bei älteren Versionen von File Manager lässt sich Schadcode auf Wordpress-Seiten einschleusen. Angreifer nutzen die Lücke aktiv aus.

Artikel veröffentlicht am , Anna Biselli
Ein Wordpress braucht Pflege, daher: Plugin-Updates nicht vergessen!
Ein Wordpress braucht Pflege, daher: Plugin-Updates nicht vergessen! (Bild: Fikret tozak/unsplash.com)

Eine Sicherheitslücke in bestimmten Versionen des Wordpress-Plugins File Manager ermöglicht es Angreifern, Skripte mit Schadcode auf Wordpress-Seiten einzuschleusen. Die Lücke wird derzeit laut Berichten von Sicherheitsforschern und -unternehmen aktiv ausgenutzt. Die aktuelle Version von File Manager, die seit 1. September zur Verfügung steht, ist nicht mehr betroffen.

Stellenmarkt
  1. IDS Imaging Development Systems GmbH, Obersulm
  2. Kassenärztliche Vereinigung Niedersachsen, Hannover (Home-Office möglich)

Laut Wordpress.org gibt es mehr als 700.000 aktive File-Manager-Installationen, wobei nur bei etwa sieben Prozent bereits die aktuellste Version läuft. File Manager soll es ermöglichen, Dateien auf der Website komfortabel über das Wordpress-Backend zu verwalten. Dabei hat File Manager offenbar die Dateiverwaltungslibrary elFinder eingebunden und eine nicht zum direkten Zugriff bestimmte Datei ausführbar für Dritte gemacht.

Das Problem wurde von dem finnischen Wordpress-Hoster Seravo entdeckt und dem Entwickler gemeldet, der sie innerhalb weniger Stunden schloss. Das Unternehmen Nintechnet berichtete ebenfalls über die Schwachstelle und beobachtete laut eigenen Angaben Angriffsversuche. Dabei hätten Angreifer ein Skript namens "hardfork.php" hochgeladen und damit Code in den Skripten /wp-admin/admin-ajax.php und /wp-includes/user.php verändert.

Auch das Sicherheitsunternehmen Wordfence berichtet von Beobachtungen, bei denen Angreifer versuchen, Dateien wie "hardfork.php" oder "hardfind.php" hochzuladen. Es sei aufgefallen, "dass Angreifer die Schwachstelle mit leeren Dateien testeten und bei Erfolg versuchen könnten, eine bösartige Datei hochzuladen", heißt es in einem Blog-Beitrag.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Der Geschäftsführer von Nintechnet sagte gegenüber Arstechnica, dass derzeit noch nicht absehbar sei, was die Angreifer mit den infizierten Seiten vorhaben. "Bislang laden sie Filesman hoch, einen weiteren Dateimanager, der häufig von Hackern verwendet wird", schrieb Jerome Bruandet in einer E-Mail.

Plugins sind immer wieder für für Sicherheitsprobleme bei Wordpress-Installationen verantwortlich. Grundsätzlich ist es daher empfehlenswert, die Anzahl der installierten Plugins auf das Notwendige zu beschränken, nicht mehr verwendete Erweiterungen zu entfernen und bestehende Plugins regelmäßig zu aktualisieren. Mit Wordpress-Version 5.5 lassen sich auch Plugins und Themes nach Wunsch automatisch updaten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 32,02€ (Vergleichspreis ca. 45€)
  2. 26,99€ (Bestpreis mit Amazon)
  3. 26,99€ (Bestpreis mit Saturn)
  4. 149,90€ + 5,99€ Versand bei Vorkasse (Vergleichspreis 171,94€ inkl. Versand)

Folgen Sie uns
       


Outriders angespielt

Im Video stellt Golem.de das von People Can Fly entwickelte Actionspiel Outriders vor.

Outriders angespielt Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /