Wer derzeit noch einen WordPress-Blog laufen hat sollte sicherstellen, dass er die neuste Version nutzt, denn die Sicherheitslücke im Admin-Interface wird bereits aktiv genutzt. Dabei wird ein zweiter (unsichtbarer) Administrator-Account angelegt der dann genutzt wird um den Blog zur Virenschleuder zu machen.
Woran erkennt man einen Angriff?
Auf the-pain gibt es dazu eine Übersetzung:
- Die Permalinks zu den Artikeln haben einen komischen Zusatz erhalten. Beispiel: example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/
- Die Registrierung vom Blog wurde deaktiviert.
- Schaut man in die Benutzerliste des Blogs, so sieht man oben bei den Administratoren eine (2) oder mehr stehen. Wenn zum Beispiel eine (2) angezeigt ist, aber in der Liste nur ein Administrator aufgeführt ist, dann seid ihr Opfer des Exploits geworden.
Insbesondere der Blick in die Nutzerregistrierung ist schnell gemacht und kann helfen zu erkennen ob man noch auf der sicheren Seite ist oder aber der Blog bereits übernommen wurde. Ein Update auf die neuste Version ist aber in allen Fällen zu empfehlen.
Was tun bei einer Infizierung?
Der Administrator Account lässt sich nicht aus dem Backend von WordPress löschen. Hierzu braucht man direkten Zugriff auf die Datenbank und kann dort in der Tabelle wp_users gelöscht werden. Alternativ kann man auch ein Backup der Tabelle einspielen von einem Zeitpunkt als es noch keine Infizierung gab.
Also bei mir ist er Gott sei Dank nicht. Aber danke für den Tipp, es sind in letzter Zeit so viele Lücken in WordPress, und die ganzen Updates… nervt iwie, besonders wenn man mehrere Blogs hat