Wordpress: Sicherheitsproblem bei Dateiverwaltungs-Plugin

Bei älteren Versionen von File Manager lässt sich Schadcode auf Wordpress-Seiten einschleusen. Angreifer nutzen die Lücke aktiv aus.

Artikel veröffentlicht am , Anna Biselli
Ein Wordpress braucht Pflege, daher: Plugin-Updates nicht vergessen!
Ein Wordpress braucht Pflege, daher: Plugin-Updates nicht vergessen! (Bild: Fikret tozak/unsplash.com)

Eine Sicherheitslücke in bestimmten Versionen des Wordpress-Plugins File Manager ermöglicht es Angreifern, Skripte mit Schadcode auf Wordpress-Seiten einzuschleusen. Die Lücke wird derzeit laut Berichten von Sicherheitsforschern und -unternehmen aktiv ausgenutzt. Die aktuelle Version von File Manager, die seit 1. September zur Verfügung steht, ist nicht mehr betroffen.

Stellenmarkt
  1. Cloud / DevOps Engineer (m/w/d)
    Fresenius SE & Co. KGaA, Bad Homburg vor der Höhe
  2. Mitarbeiter IT-Basis-Support (m/w/d)
    Vitakraft pet care GmbH & Co. KG, Bremen
Detailsuche

Laut Wordpress.org gibt es mehr als 700.000 aktive File-Manager-Installationen, wobei nur bei etwa sieben Prozent bereits die aktuellste Version läuft. File Manager soll es ermöglichen, Dateien auf der Website komfortabel über das Wordpress-Backend zu verwalten. Dabei hat File Manager offenbar die Dateiverwaltungslibrary elFinder eingebunden und eine nicht zum direkten Zugriff bestimmte Datei ausführbar für Dritte gemacht.

Das Problem wurde von dem finnischen Wordpress-Hoster Seravo entdeckt und dem Entwickler gemeldet, der sie innerhalb weniger Stunden schloss. Das Unternehmen Nintechnet berichtete ebenfalls über die Schwachstelle und beobachtete laut eigenen Angaben Angriffsversuche. Dabei hätten Angreifer ein Skript namens "hardfork.php" hochgeladen und damit Code in den Skripten /wp-admin/admin-ajax.php und /wp-includes/user.php verändert.

Auch das Sicherheitsunternehmen Wordfence berichtet von Beobachtungen, bei denen Angreifer versuchen, Dateien wie "hardfork.php" oder "hardfind.php" hochzuladen. Es sei aufgefallen, "dass Angreifer die Schwachstelle mit leeren Dateien testeten und bei Erfolg versuchen könnten, eine bösartige Datei hochzuladen", heißt es in einem Blog-Beitrag.

Golem Akademie
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
  2. Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop
    17.–18. Januar 2022, Virtuell
Weitere IT-Trainings

Der Geschäftsführer von Nintechnet sagte gegenüber Arstechnica, dass derzeit noch nicht absehbar sei, was die Angreifer mit den infizierten Seiten vorhaben. "Bislang laden sie Filesman hoch, einen weiteren Dateimanager, der häufig von Hackern verwendet wird", schrieb Jerome Bruandet in einer E-Mail.

Plugins sind immer wieder für für Sicherheitsprobleme bei Wordpress-Installationen verantwortlich. Grundsätzlich ist es daher empfehlenswert, die Anzahl der installierten Plugins auf das Notwendige zu beschränken, nicht mehr verwendete Erweiterungen zu entfernen und bestehende Plugins regelmäßig zu aktualisieren. Mit Wordpress-Version 5.5 lassen sich auch Plugins und Themes nach Wunsch automatisch updaten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Resident Evil (1996)
Grauenhaft gut

Resident Evil zeigte vor 25 Jahren, wie Horror im Videospiel auszusehen hat. Wir schauen uns den Klassiker im Golem retro_ an.

Resident Evil (1996): Grauenhaft gut
Artikel
  1. Streaming: Chromecast erhält spezielle Youtube-Fernbedienung
    Streaming
    Chromecast erhält spezielle Youtube-Fernbedienung

    Die Steuerung von Youtube auf einem Chromecast soll mit einer neuen Funktion deutlich komfortabler werden.

  2. Studie: Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren
    Studie
    Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren

    Nur eine sehr geringe Minderheit der Eltern will ihrem Kind erst mit 15 Jahren ein Smartphone zur Verfügung stellen.

  3. Google: Kopfhörer verlieren Google-Assistant-Support auf iPhones
    Google
    Kopfhörer verlieren Google-Assistant-Support auf iPhones

    Wer Google Assistant am Kopfhörer benutzen will, ist künftig auf ein Android-Gerät angewiesen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Samsung Portable SSD T5 1 TB 84€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • EPOS Sennheiser GSP 670 199€ • EK Water Blocks Elite Aurum 360 D-RGB All in One 205,89€ • KFA2 Geforce RTX 3070 OC 8 GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) [Werbung]
    •  /