News, Software, WordPress

Angriffswelle auf WordPress-Webseiten (Jetpack Plugin)

WordPress Entwickler und Webdesigner

Wordpress Malware

Aktuell konnte ich bei einer Vielzahl von WordPress-Webseiten einen automatisierten Malware befall feststellen, nicht zuletzt auch, weil sich viele Betroffene bei mir gemeldet und um Rat bzw. Hilfe gebeten haben.

Die Malware nistet sich in der index.php des WordPress-Systems ein und erzeugt auf allen Unterseiten Links und Keyword-Spam zu Seiten mit pornografischen Inhalten, Viagra Verkauf, Sextoys ect. Das tückische daran ist, dass die Codes teilweise nur dann ausgegeben werden, wenn die Webseite vom Googlebot gecrawlt wird, man es also selber gar nicht mitbekommt, dass die Seite befallen ist.

Es wird erst bemerkt, wenn es bereits zu spät ist und die Webseite im Google Index fällt oder im schlimmsten Fall ganz ausgeschlossen wird.

Anzeige:




Bei allen betroffenen WordPress-Seiten die ich analysieren konnte, gab es eine Gemeinsamkeit: Es war eine veraltete Version des Jetpack Plugins (jetpack.me) installiert, die Versionen lagen in der Regel unter 2.0.

Wurde nur der schädliche Code entfernt, nicht aber das Jetpack aktualisiert, wurden die Seiten erneut infiziert. Nach dem updaten des Jetpack Plugins auf die aktuelle Version und erneutem bereinigen blieben die Seiten sauber.

Daher gehe ich zum aktuellen Zeitpunkt davon aus, dass es sich hier um eine Sicherheitslücke im Jetpack Plugin handelt, über die entsprechende Schadsoftware in die Systeme gelangte.

Wie kann ich erkennen ob meine WordPress-Installation infiziert ist?

Die Seiten, die ich analysieren konnte, wiesen die schädlichen Codes immer in der index.php des Systems auf. Bei einer Seite waren auch Dateien im WordPress Kern befallen, vor allem JavaScripte wie die eingebundene jQuery. Auf der Seite waren die Malware Codes so breit verstreut, dass ich das halbe Kernsystem neu hochladen musste.

Auf folgendem Screenshot ist eine entsprechend infizierte index.php zu sehen:

Infizierte WordPress index.php

Hier eine saubere Datei, also so wie es seien sollte:
WordPress index.php nicht infiziert

Bei den meisten Seiten war es bereits ausreichend, einfach den schädlichen Code zu entfernen und das Jetpack auf die aktuellste Version zu updaten. Diese Schritte würde ich euch also als erstes empfehlen, wenn eure Seite infiziert ist.

Schlagworte zu diesem Artikel: , , , ,

Veröffentlicht von Pascal Bajorat

Pascal Bajorat ist Mediengestalter und arbeitet als Webdesigner / Webentwickler, Autor und Trainer in Berlin. In den vergangenen Jahren hat er sich vor allem auf das CMS WordPress und die Entwicklung von hochwertigen Webseiten und Sonderlösungen spezialisiert. Er hat den Webdesign-Podcast.de 2010 gegründet.

Webseite:

2 Antworten zu “Angriffswelle auf WordPress-Webseiten (Jetpack Plugin)”

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Der Benachrichtigungs-Dienst wird von WordPress.com (Automattic Inc., USA ) bereitgestellt. Mit der Anmeldung akzeptierst du die Datenschutzerklärung. Die Abmeldung / Abo-Verwaltung ist jederzeit über diesen Link möglich.