Schwachstelle im WordPress-Plugin „WP GDPR Compliance“ & „WooCommerce“ – Ergreife sofort Maßnahmen


Wenn du auf deinem WordPress das Plugin „WP GDPR Compliance“ installierst hast und es in der Version 1.4.2 existiert oder älter, solltest du es umgehend aktualisieren und weitere Maßnahmen ergreifen! Hast du WooCommerce installiert, aktualisier auch das und ergreife ebenfalls weitere Maßnahmen.

Das Plugin „WP GDPR Compliance“ litt in einigen Versionen bis Version 1.4.2 unter einer Schwachstelle, die es Angreifern (Hackern) erlaubte dein WordPress anzugreifen.

Woran du merkst, dass du angegriffen wurdest

Prüfe die Benutzer deiner WordPress-Installation. Die Hacker haben eine Schwachstelle im „WP GDPR Compliance“-Plugin genutzt, um sich darüber einen Benutzer-Account mit Administrator-Rechten anzulegen.

Einige angegriffene User fanden folgende Nutzernamen in ihrer Installation:

  • t2trollherten
  • t3trollherten

Die E-Mailadresse dieser User war: trollherten@mail.com oder t3trollherten@bk.ru.

Andere Nutzer fanden eine zusätzliche Datei in ihrer WordPress-Installation. Die Datei „wp-cache.php“ tauchte auf einmal im Root-Ordner des WordPress auf.

In anderen Berichten haben die Hacker die WP-Cron-Funktion genutzt, um das Plugin „2MB Autocode“ einzurichten. Über dieses Plugin versuchen sie ebenfalls den Schadcode getarnt als „wp-cache.php“ auf deinen Server zu schmuggeln.

Falls du ein WooCommerce installiert hast, solltest du auch hier alles updaten und auf Angriffe untersuchen. Auch das WooCommerce war in der Vergangenheit angreifbar.

Was du tun solltest, um dein WordPress zu schützen

  1. Lösch die unbekannten Benutzer („t2trollherten“,“t3trollherten“) sofort.
  2. Aktualisier das Plugin „WP GDPR Compliance“ auf die neuste Version
  3. Installier das Plugin Wordfence und lass einen Scan durch dein WordPress laufen, um zu prüfen, ob Dateien oder die Datenbank verändert wurden.
    Installier die „NinjaFirewall“ als weitere Sicherheitsstufe.
  4. Installier das Plugin „WPS Hide Login“ um die Loginurl von /wp-admin zu einer komplett neuen zu ändern. (Damit finden Angreifer den Zugang zu deinem WordPress schwerer.)
  5. Änder dein WordPress-Passwort.
  6. Überprüfe, ob in deinem WordPress-Root-Ordner die Datei „wp-cache.php“ existiert.
  7. Überprüfe, ob bei deinem WordPress das „2MB Autocode“ Plugin installiert wurde.
  8. Erstelle ein Backup deines WordPress.

Weitere Maßnahmen:

Prüfe in den Tagen nach dem Angriff, ob dein WordPress ok ist. Per Scan und in dem den Log von Wordfence oder NinjaFirewall prüft.

Was wollen die WordPress-Angreifer?

Über die Absicht der Angreifer muss gemutmaßt werden. Mit ihrem Hack und den Administratoren-Rechten liegt es nahe, dass sie dein WordPress klauen wollten und eventuell sogar den Server übernehmen wollten.

Auf deinem WordPress und/oder deinem Server würden die Hacker Schadsoftware, Malware oder Spamlinks einrichten.

Autor: Pierre von BedeutungOnline

Hallo, ich bin Autor und Macher von BedeutungOnline. Bei BedeutungOnline dreht sich alles um Worte und Sprache. Denn wie wir sprechen und worüber wir sprechen, formt wie wir die Welt sehen und was uns wichtig ist. Das darzustellen, begeistert mich und deswegen schreibe ich für dich Beiträge über ausgewählte Worte, die in der deutschen Sprache gesprochen werden. Seit 2004 arbeite ich als Journalist. Ich habe Psychologie und Philosophie mit Schwerpunkt Sprache und Bedeutung studiert. Ich arbeite fast täglich an BedeutungOnline und erstelle laufend für dich neue Beiträge. Mehr über BedeutungOnline.de und mich erfährst du hier.

6 Gedanken zu „Schwachstelle im WordPress-Plugin „WP GDPR Compliance“ & „WooCommerce“ – Ergreife sofort Maßnahmen“

  1. Ich habe keinen Zugriff zu meiner Seite mehr. Im Postfach fand ich eine Nachricht
    t3trollherten hat meinen Passwort geändert und wahrscheinlich mich blockiert. Es ist so traurig. Solange ihr Möglichkeit habt, handelt schnell. Ich bin jetzt fassungslos.
    mein-dolcevita.de
    E.Guhl

    1. Bitte kontaktieren Sie sofort Ihren Hostinganbieter und Ihren WordPress-Techniker (falls Sie einen haben). Bitte Sie um Rat und Hilfe.

      Viele Grüße
      Pierre von BedeutungOnline.de

  2. Wir haben genau diesen Benutzer bei uns gefunden unser kompletter Onlineshop ist gehackt wir haben jetzt alles an unsere Techniker weiter gegeben sie konnten es auch beheben das Problem es ist sehr schwer Nachvoll zieh bar in wie weit nicht doch noch irgendwo etwas ist.Ich hätte nicht gedacht das uns so etwas passiert.

    1. Hallo Tine,

      falls du keine Backups deiner Artikel hast, kann dir archive.org helfen. Dort werden viele Webseiten gespeichert.

      Viele Grüße
      Pierre von BedeutungOnline

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert