Freitag, 31. Mai 2019

WordPress Admin Zugang in 30 Sekunden hacken- Ist deine Website sicher?

Ein herzliches Hallo an alle WordPress Betreiber unter euch, speziell an die, die Leads sammeln.

Für diesen Bedarf gibt es das praktische kleine Plugin “Convert Plus”, welches in vielen Themes schon vorinstalliert ist und bereits über 100.000 aktive Installationen hat. Das Plugin Convert Plus zielt darauf ab, mehr Abonnenten, Leads und Mitglieder mit Hilfe von Popups, Kopf- und Fußzeilen Formulare, Slide Ins, Widgets in der Seitenleiste und ähnlichen Pop-Ups zu generieren.

Klingt ja schön und gut, aber wo ist das Problem?

 

Wie meine Website in nur 30 Sekunden gehacked wurde

Als ich heute Morgen gediegen, mit einem Kaffee in der Kralle, meiner aktuellen Website Daten prüfen wollte, sah ich eine überraschende Mail in meinem Postfach. Schaut Sie euch mal an:

 

 

Ich dachte erst fälschlicherweise, dass ich eventuell einen Lead über mein frisch eingerichtetes “Covert Plus” Plugin generiert hätte. Diese erschien mir jedoch komisch, da die eingestellten Kampagnen nichts mit Benutzerregistrierungen zu tun hatten.

Aus diesem Grund prüfte ich dann in meinem WordPress Interface, unter den Tab Benutzer, wer wohl dieser seltsame Samuel gewesen sein mag. Im Benutzer Tab angekommen, traf mich fast der Schlag, als ich sah, dass aus dem Nichts ein neuer User mit Adminrechten angelegt wurde. Mit einem Mix aus Schrecken, Verwirrung und der Laune eines Morgenmuffels, löschte ich diesen Nutzer so schnell es ging wieder.

Völlig perplex und erschrocken fragte ich mich, wie zur Hölle kam dieser Typ jetzt in Meine Website rein. Man hört viel über Hacking, liest viel im Netz, dass so etwas jedoch wirklich mal passiert, erlebt man selten.

 

Da es viele Wege in eine WordPress Website hinein gibt, setzte ich erstmal schnellstmöglich die Basics um:

  • Neuer Login Pfad (Du solltet Ihn in jedem Fall niemals bei /wp-admin belassen!)
  • Passwortänderung in WordPress
  • Passwortänderung im Hosting
  • Neues Passwort im FTP
  • 2-Faktor Authentifizierung im Hosting
  • 2-Faktor Authentifizierung in WordPress
  • Alle offenen Plugins updaten
  • Neues Passwort für die Datenbank

 

Hierbei blieben lediglich die Updates der üblichen im Theme enthaltenen Plugins offen, jeder der ein Themeforest Theme verwendet, wird es kennen. Zu den üblichen Verdächtigen gehören Plugins wie WP Bakery Page Builder, Ultimate Addons for WPBakery Page Builder, Convert Plus und ähnliche Plugins. Die fordern eigentlich eine individuelle Lizenz ab, sind aber in vielen Themes automatisch enthalten. Ohne Lizenz können diese zwar verwendet werden, aber nicht manuell selbst ge-updated werden.

Da ich diesen Plugins aus irgend einem Grund mehr vertraue, vermutlich da Sie paid sind, machte ich mir an dieser Stelle jedoch erstmal weniger Sorgen. Nachdem ich alle oben genannten Maßnahmen getroffen hatte, dachte ich, ich hätte die Gefahr abgewendet.

  1. Falsch gedacht.
  2. Der Laptop macht ein Ping-Geräusch.
  3. Eine neue Mail flattert rein:

 

Verdammte Axt  – dachte ich mir.

DAS KANN DOCH NICHT SEIN – dachte ich mir.

Jetzt werden nichtmal mehr Pinkelpausen gemacht, bis das gelöst ist – dachte ich mir.

 

“Ein Mal das Wordfence Plugin zum Mitnehmen bitte”

Nach dem ich anschließend in die PRO-Version von Wordfence investiert habe, schaute ich mir das Live Tracking an:

Da vergeht sich doch tatsächlich eine Niederländische IP mit einem russischen Hostnamen an meinen Admin Files. 

Als ich mit fragendem Blick: “/wp-admin/” erspähte wusste ich, es muss schnellstmöglich der Bannhammer in Richtung Niederlande fliegen.

 

 

Phew, das fühlte sich gut an. Die Frage ist jedoch, hat es etwas gebracht?

 

Ja, hat es. 

Die Person versuchte noch über eine andere IP Adresse auf meine Seite zuzugreifen, doch da diese in den Niederlanden lagen, gelang dies nicht.

Wichtig: Ein Country-Ban wird niemals ausreichen. Jeder kann beliebig auf VPNs zugreifen um eine IP aus einem anderen Land zu bekommen. Somit hätte der Angreifer einfach beliebig weiterverfahren können. Deshalb erschien es mir logisch, vorallem auch nach Rücksprache mit ein paar Leidengenossen, dass es an einem Plugin liegen muss.

 

Der Übeltäter: Das Convert Plus Plugin

Nach einer kleinen Diskussion in den Online Marketing Gruppen gab es vielerlei Ansätze. So überprüfte ich, ob es irgendwelche Neuigkeiten über Plugins die ich verwendete gab – und siehe da:

 

    (29.05 – Quelle: Wordfence)

 

 

(30.05 – Quelle: Bleepingcomputer)

 

Klingt vielleicht seltsam, aber nach dem ich das gelesen hatte, war ich beruhigt. Nichts ist schlimmer in solch einer Situation, als nicht zu wissen, wo das Problem liegt.

Nun löschte ich schnurstracks, das eben erwähnte Plugin und schaute mal auf der offiziellen Seite, ob es denn ein Update zu diesem Problem gäbe.

 

 

Neues Update auf der offiziellen Plugin Seite und bei CodeCanyon

 

 

In einem offiziellen Beitrag von Wordfence wurde dieses Problem etwas genauer beleuchtet, für jeden den es interessiert. Zudem stellt Wordfence deutlich klar, dass die Entwickler von ConvertPlus umgehend auf diesen Bug reagierten, ihn binnen weniger Tage lösten, das Plugin updateten und es in einem eigenen Beitrag Ihren Nutzern mitteilten.

Weiterhin zeigte das Team von Wordfence in Ihrem Beitrag sogar exemplarisch mit einem Video, wie dieser Hacking Vorgang ablief. Hierbei wird einem selbst erstmal klar, wie schnell und einfach jemand sich Zugriff auf eure Website verschaffen kann, indem er die Schwachstellen von Plugins ausnutzt. Gruselig, aber wichtig zu wissen.

 

Also habt Ihr zwei Möglichkeiten, falls Ihr das Convert Plus Plugin in der Version 3.4.2 oder früher habt, nämlich UPDATEN oder LÖSCHEN.

 

Und die Moral von der Geschicht…

  1. “Zu viele Plugins, installiert man nicht”.
  2. “Veraltete Plugins nutzt man nicht.”
  3. “Wordfence und 2-Faktor-Authentifizierung, du besser nutzt, du Wicht.”
  4. “Personen aus den Niederlanden, vertraut man nicht” (Joke)
  5. “Ein alternativer Login-Pfad ist schön und schlicht”

 

Aber Spaß beiseite. Man hört so oft, dass es wichtig ist die Plugin auf dem neusten Stand zu behalten. Dieses Beispiel sollte euch zeigen, dass diese Aussage wirklich stimmt – und nicht nur von Agenturen verwendet wird um Kunden laufende Kosten für die “Wartung” anzudrehen.

Glücklicherweise verbringe ich workaholisierter Nerd annährend jede wache Stunde vor dem Laptop und war quasi Live dabei, als versucht wurde, meine Seite zu infiltrieren. Es hat in diesem Fall, wenn Ihr euch das Video von Wordfence anschaut, wirklich nur 30 Sekunden gedauert um einen Admin Zugang anzulegen. Wie das möglich war/ist, seht Ihr in folgendem Video.

Das war brandgefährlich und hätte wirklich schief gehen können. Lerne bitte auch aus den Fehlern, die andere für dich machen (in diesem Fall, Ich) und setze am besten noch heute die oben geannnten Sicherheiteinstellungen für alle deine wichtigen Webprojekte um.

Vorsorge ist besser als Nachsorge, das lernt man jedoch meistens erst, wenn es zu spät ist.

Be smart, stay safem danke fürs lesen.

Schönes Wochenende an dich.

 

Beste Grüße, mit schmerzenden Augenliedern,

Niels

Der Beitrag WordPress Admin Zugang in 30 Sekunden hacken- Ist deine Website sicher? erschien zuerst auf Wolf of SEO.



from Wolf of SEO https://wolf-of-seo.de/blog/convert-plus-wordpress-admin-hacking-bug/
Eingestellt von um Keine Kommentare:
Labels: , , ,
Abonnieren Posts (Atom)