t3n News Software

Erschreckender Anstieg gehackter WordPress-Seiten: Hunderte Blogs sollen Ransomware ausliefern

Erschreckender Anstieg gehackter WordPress-Seiten: Hunderte Blogs sollen Ransomware ausliefern

Gleich mehrere Sicherheitsfirmen haben diese Woche berichtet, dass es einen starken Anstieg an gehackten WordPress-Websites gibt. Die betroffenen Seiten sollen versuchen die Rechner von Besuchern mit Ransomware zu infizieren.

Erschreckender Anstieg gehackter WordPress-Seiten: Hunderte Blogs sollen Ransomware ausliefern

WordPress-Hack. (Screenshot: Sucuri)

WordPress-Seiten liefern Ransomware aus

Am 1. Februar 2016 berichtet die Sicherheitsfirma Sucuri von einem massiven Anstieg an gehackten WordPress-Seiten. Seitdem bestätigten zwei weitere Unternehmen aus dem Sicherheitsbereich die Angaben von Sucuri. Laut Malwarebytes sollen Hunderte Websites betroffen sein. Bei den angegriffenen Seiten wird schädlicher Javascript-Code in die bestehende Codebasis integriert. Dieser Code schickt Besucher weiter auf andere Seiten, auf denen ihre Rechner dann mit Ransomware infiziert werden könnten.

Betroffen sind Nutzer die eine nicht aktuelle Version von Adobes Flash-Player, Adobes Reader, Microsofts Silverlight oder des Internet Explorers einsetzen. Um nicht sofort aufzufliegen, zielt die Weiterleitung nur auf Besucher, die zum ersten Mal die betroffene WordPress-Seite aufrufen. Immerhin soll Googles Safe-Browsing-Mechanismus Nutzer vor dem Besuch einiger der betroffenen Weiterleitungen warnen. Ein Blog-Beitrag von Heimdal Security zeigt allerdings, dass sich die Ziel-Domains seit Beginn der Kampagne geändert haben. Es bleibt daher anzunehmen, dass die kriminellen Urheber der Ransomware-Kampagne die Weiterleitungen immer wieder aktualisieren.

WordPress: So sieht der verschlüsselte Schadcode aus. (Screenshot: Sucuri)
WordPress: So sieht der verschlüsselte Schadcode aus. (Screenshot: Sucuri)

Anstieg an WordPress-Hacks: Ursache derzeit noch unbekannt

Derzeit ist unklar, wie sich die Hintermänner der Kampagne so vielen WordPress-Blogs bemächtigen konnten. Es ist möglich, dass die betroffenen Seiten einfach nicht sonderlich gut auf ihre Sicherheit geachtet haben. Möglich wäre aber auch der Einsatz einer bislang unbekannten Sicherheitslücke in WordPress oder einem der eingesetzten Plugins.

Die Malware infiziert nach Angaben des Sicherheitsexperten Denis Sinegubko alle JavaScript-Dateien auf einem Server. Werden mehrere Websites über einen Hosting-Account betrieben, könnten leicht alle Seiten infiziert werden. Auch müssten im Schadensfall alle Seiten von dem Schadcode bereinigt werden, da sie sonst die anderen Websites immer wieder infizieren könnten.

In diesem Zusammenhang sollten Seitenbetreiber auch unbedingt einen Blick auf unseren Artikel „WordPress, Joomla!, Drupal und Co.: Die wichtigsten Updates für die wichtigsten CMS (Januar)“ werfen.

via arstechnica.com

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
18 Antworten
  1. von Ein Job für Hoster am 05.02.2016 (12:54 Uhr)

    Ein Job für die Hoster wo die Server und verseuchten Dateien auf den Server-Platten liegen.
    Wenn Frachtcontainer oder Pakete rauchen oder Geräusche von sich geben holt man ja auch die Feuerwehr...

    Vielleicht auch ein Pattern für adblock und alle anderen Filter-Systeme wo ein Großteil der Webseiten durchläuft und wo man Verseuchung o.ä. erkennen kann. Lokale Proxies sind ja leider unüblich.
    Habt Ihr mal Opera gefragt ob sie es schon ausfiltern ? OperaTurbo und OperaMax sind die relevanten Keywords für Eure Anfrage...

    Antworten Teilen
  2. von Blub am 05.02.2016 (13:05 Uhr)

    Blöde Frage, aber Wordpress aktualisiert sich doch von selbst?? Oder kann man das irgendwo abschalten? Wunder mich immer wieso es so viele nicht-aktuelle Installationen geben soll

    Antworten Teilen
    • von Guest am 05.02.2016 (13:32 Uhr)

      Wurde das automatische Sicherheits-Update nicht erst mit einer späteren Version erst eingeführt? Noch dazu müsste man große Versions-Updates(z.b. on 3.xx auf 4.xx oder auch 4.1 auf 4.2) immer noch manuell machen außer man stellt es selbst auf automatisch um.

      Ich kenne jedenfalls noch Seiten auf 4.2, 4.1, 4.0 und selbst 3.7. Fragwürdige Methoden für Corporate Websites, aber warscheinlich nicht selten.

      Antworten Teilen
  3. von Benedikt am 05.02.2016 (13:05 Uhr)

    Das liegt zu 95% an den mangelnden Sicherheitsmaßnahmen. Schlechte Kennwörter in Kombination mit Sicherheitslücken wie folgenden:
    https://wordpress.org/support/topic/wp-431-still-allows-visibility-of-admin-usernames

    Wordpress wird immer noch viel von Skript-Kiddies eingesetzt, die sich über sowas überhaupt keine Gedanken machen.

    Antworten Teilen
  4. von Dominik am 05.02.2016 (13:23 Uhr)

    Automatische Hintergrund-Aktualisierungen wurden in WordPress 3.7 eingeführt, um die Sicherheit und die generelle Update-Erfahrung zu verbessern. Standardmäßig ist das Autoupdate nur für Minor Releases, welche für Wartungs- und Sicherheitszwecke herausgebeben werden, und für die Übersetzungsdateien aktiviert.

    Antworten Teilen
  5. von Andres am 05.02.2016 (13:30 Uhr)

    Der letzte Link in dem Artikel "Wordpress" scheint auf eine Webseite zu verweisen auf der das CSS nicht geladen wird.

    Antworten Teilen
  6. von Physiotherapeut Hannover am 05.02.2016 (13:36 Uhr)

    Das Problem ist auch mir persönlich bekannt. Mehrere Bekannte sind davon betroffen. Liegt sicherlich auch daran, dass die Updates nicht regelmäßig ausgeführt werden bzw. Sicherheitsplugins gar nicht installiert sind. An der Stelle könnte ich einen Tipp gebrauchen, welches Sicherheitsplugin für Wordpress am sinnvollsten ist. Ich wäre dankbar für jeden Ratschlag.

    Antworten Teilen
  7. von Felix am 05.02.2016 (14:28 Uhr)

    Gibts ein Tool bzw. Website, mit der man Wordpress installation auf ransomware überprüfen kann?

    Antworten Teilen
  8. von Mehmed Saral am 05.02.2016 (14:29 Uhr)

    Sicherheitsplugins nützen gar nichts, schaffen nur noch mehr Sicherheitslücken... Meine Heransgehensweise ist neue Updates immer gleich draufspielen (max. 1 Tag nach Release), dem Webserver nur auf ausgewählte Folder Schreibrechte geben (z.B. WP-Uploads) und ein solides Backupplugin für die DB und den Webspace mitlaufen lassen.

    Antworten Teilen
    • von Sascha am 08.02.2016 (08:30 Uhr)

      Wir halten unser Wordpress immer aktuell, Updates werden immer sofort eingespielt und trotzdem wurden wir Anfang Januar gehackt. Warum, Passwort war zu leicht zu hacken

      Antworten Teilen
  9. von grep am 05.02.2016 (20:46 Uhr)

    Hallo ...,


    da CMS - relativ - exponiert sind, sollte man affin mit betreffender Software sein; viele (sog.) Administratoren sind technisch leider eher unbedarft, dass ist das eigentliche Problem.


    Ciao, Sascha.

    Antworten Teilen
  10. von Riesenhaus am 06.02.2016 (15:24 Uhr)

    Schön verrückt das ganze. Hoffentlich sind nicht allzu viele Blogs betroffen von diesem hack. Apropo Fehler in Communities...vielleicht mal interessant für jeden sich Fragen für Zuckerberg auszudenken, weil er bald nach Deutschland kommt. Guten Artikel zum diskutieren hier gefunden dazu:

    http://www.freizeitcafe.info/fragen-an-zuckerberg-in-deutschland/

    Ich bleibe auch weiter bei Wordpress :-)

    Antworten Teilen
  11. von Silvio am 08.02.2016 (18:29 Uhr)

    Ich habe miene seite gerade gecheck über https://www.google.com/transparencyreport/safebrowsing/diagnostic/?#url=printsachen.de

    Ist alles i.o.
    Danke für den Artikel

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema WordPress
Von der Blog-Plattform zum Domain-Anbieter: Warum Wordpress 19 Millionen Dollar für .blog gezahlt hat
Von der Blog-Plattform zum Domain-Anbieter: Warum Wordpress 19 Millionen Dollar für .blog gezahlt hat

Automattic, das Unternehmen hinter Wordpress, hat vergangenes Jahr die Top-Level-Domain .blog ersteigert. Die Domains will der Blog-Betreiber auch außerhalb von Wordpress verkaufen. » weiterlesen

Wie fühlst du dich? Dieses Tool bringt Reactions à la Facebook auf euren Blog
Wie fühlst du dich? Dieses Tool bringt Reactions à la Facebook auf euren Blog

Mit den Facebook-Reactions können Nutzer auf Beiträge mit unterschiedlichen Emotionen reagieren. Emotify bringt die Funktion jetzt auf alle großen Blog-Plattformen. » weiterlesen

SEO im Content-Marketing: 8 Tipps für effektivere Blog-Artikel
SEO im Content-Marketing: 8 Tipps für effektivere Blog-Artikel

Blogs sind ein beliebtes Mittel im Content-Marketing. Viele Unternehmen haben schon ein eigenes und befüllen es kontinuierlich mit Inhalten. Darauf sollten aber, wie bei anderen Blogs auch, … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?