Sicherheitslücke im DSGVO-Plugin von WordPress

Von Klaus Ahrens

Seit die europäische Datenschutz-Grundverordnung (DSGVO) gilt, nutzen viele Internetseiten und Blogs, die auf Basis des CMS WordPress laufen, die WordPress-Erweiterung WP GDPR Compliance des Entwicklers Van Ons.

Dieses kostenlose Plugin soll es Seitenbetreibern mit WordPress erleichtern, die Notwendigkeiten der Datenschutz-Grundverordnung (DSGVO) ordnungsgemäß zu berücksichtigen.

Das DSGVO-Plugin ist offenbar recht beliebt: Das offizielle Plugin-Verzeichnis von WordPress zählt heute schon  über 100.000 aktive Installationen und sogar über eine halbe Million Downloads.

Eine Sicherheitslücke trübt die Freude

Vor ein paar Tagen wurde aber bekannt, dass eine Lücke in diesem Plugin Angreifern gestattet, die volle Kontrolle über die WordPress-Installation und sogar den gesamten Server zu übernehmen. Das Sicherheitsunternehmen Wordfence meldet dazu, dass bis einschließlich Version 1.4.2 des Plugins auch völlig Außenstehende beliebige Einstellungen in der WordPress-Installation machen können.

Bei einer solchen Attacke könnten Angreifer über die Sicherheitslücke erst einmal (wenn nötig) die Nutzerregistrierung einschalten, dann auf dem normalen Weg einen neuen Account anlegen und diesen letztlich noch zum Admin hochstufen.

Mit den Admin-Rechten könnte die Angreifer dann auch den gesamten Server übernehmen, zum Beispiel, indem sie eine vergiftete Erweiterung installieren, die eine Webshell enthält.

Aktuell wird die Schwachstelle schon aktiv ausgenutzt

Laut  Wordfence wird diese Schwachstelle schon aktiv von Online-Kriminellen für Angriffe missbraucht. In mehreren Fällen hat das Sicherheitsunternehmen festgestellt, dass bei den kompromittierten Installationen ein Nutzer mit dem Namen „t2trollherten“ angelegt war. Außerdem haben Angreifer in diesen Szenarien auch Webshells mit dem relativ unverdächtig klingenden Namen „wp-cache.php“ hinterlassen.

WP GDPR Compliance1.4.3 behebt den Fehler

Schon seit Donnerstag ist die abgesicherte Version 1.4.3 des Plugins zum Download verfügbar. Wer WP GDPR Compliance auf seiner WordPress-Site einsetzt, sollte unbedingt und zügig auf die aktuelle gehärtete Version updaten, denn WordPress-Installationen waren schon immer beliebte Ziele von Online-Angreifern.