Eben wollte ich auf Twitter einer Followerin einen Link von meiner Seite schicken, rufe die auf dem Smartphone auf, um die Suche zu bedienen und bekomme eine Malwareseite – bzw. Fehlerseiten, weil meine Plugins im Browser die Malware geblockt haben – angezeigt. Herzklopfen! Was ein Schei\u00df. Vor vielen Jahren hatte ich sowas schon mal, da war die Startseite defaced. Nun war es eine Weiterleitung zu einer Malwareseite. <\/p>\n
Per Web-FTP bin ich schnell auf den Server gegangen und habe die Verzeichnisse durchgeschaut. Allerdings schienen alle index.php und .htaccess unangetastet und hatten keine ungew\u00f6hnlichen Inhalte. Die Themes schienen es auch nicht zu sein. Auch dort waren die Files nicht angefasst. Der Wechsel auf ein anderes Theme brachte keine Besserung, so dass ich kompromitierte Theme-Dateien augeschlossen habe. Also ein Plugin.<\/p>\n
Zun\u00e4chst geschaut, welche zuletzt aktualisiert wurden und der Reihe nach abgeschaltet. Das brachte aber auch keine Besserung. Letztendlich habe ich die Seite aufgerufen und versucht m\u00f6glichst schnell das Laden zu stoppen, um den Quelltext anschauen zu k\u00f6nnen. Das war dann von Erfolg gekr\u00f6nt und das Tool „WP DSGVO Tools“ hat offensichtlich per Javascript entsprechende Weiterleitungen nachgeladen. Zumindest konnte ich die erste Weiterleitung identifizieren. Nachdem ich das DSGVO-Plugin deaktiviert habe, lief dementsprechend die Seite auch wieder. Schnell gel\u00f6scht und \u00fcber die Stirn gewischt. Hatte schon das FTP_Passwort ge\u00e4ndert – das scheint gar nicht n\u00f6tig gewesen zu sein.<\/p>\n
Danach Google angeworfen und https:\/\/www.egm.at\/blog\/sicherheitsluecke-in-wp-dsgvo-tools-shapepress-dsgvo\/<\/a> gefunden. Der Beitrag ist erst von letztem Freitag – da lief meine Seite aber noch, glaube ich. Ich wei\u00df nicht, wann ich zuletzt drauf war. Den Zugriffszahlen nach, kann das Problem noch nicht lange bestanden haben. Auf dem \u00f6sterreichen Blog gibt es auch noch einen weiterf\u00fchrenden Link https:\/\/www.pluginvulnerabilities.com\/2021\/09\/22\/recently-closed-wordpress-plugin-with-30000-installs-contains-type-of-vulnerability-hackers-target\/<\/a> Auf das Plugin werde ich wohl verzichten. War jedenfalls eins mit relevanter Userzahl.<\/p>\n Sowas macht mir keinen Spa\u00df.<\/p>\n","protected":false},"excerpt":{"rendered":" Eben wollte ich auf Twitter einer Followerin einen Link von meiner Seite schicken, rufe die auf dem Smartphone auf, um die Suche zu bedienen und bekomme eine Malwareseite – bzw. Fehlerseiten, weil meine Plugins im Browser die Malware geblockt haben …<\/p>\n