Über 200.000 Seiten betroffen: Dieses WordPress-Plugin hat kritische Sicherheitslücken
Das Plugin Anti-Spam von Cleantalk hält Spam-Kommentare von deiner WordPress-Seite fern – es bildet aber auch ein Einfallstor für Hacker:innen. Denn wie die Cyber-Security-Spezialist:innen von Wordfence entdeckt haben, besitzt das beliebte Plugin gefährliche Sicherheitslücken. Laut Wordfence benutzen über 200 000 mit WordPress gebaute Webseiten das Add-on aus dem Hause Cleantalk.
Wie Wordfence jetzt berichtet, machte sie ein externer User Ende Oktober 2024 auf die Schwachstelle aufmerksam. Das Team untersuchte daraufhin Anti-Spam by Cleantalk und entdeckte eine zweite Anfälligkeit. Beide stufte Wordfence als „kritisch“ ein – mit einem Gefahrenwert von 9,8 Punkten. Eine 10 ist der höchstmögliche Gefährdungswert.
So nutzen Hacker:innen die Schwachstellen aus
Die beiden Schwachstellen ermöglichen es Angreifer:innen, ohne Autorisierung auf WordPress-Seiten zugreifen zu können. Über Remote Calls können Hacker:innen beliebig Plugins installieren und aktivieren. Handelt es sich dabei ebenfalls um ein verwundbares Plugin, können die Täter:innen aus der Ferne Codeausführungen bedienen und etwa Malware installieren.
Die Sicherheitslücke ließ zu, dass die Angreifer:innen die Autorisierung mittels Reverse-DNS-Spoofing umgehen. Bei einer Reverse-DNS-Anfrage werden IP-Adressen in einen Domänennamen umgewandelt. Beim Spoofing dieser Methode gaukeln böswillige Akteur:innen in dem Fall von WordPress dem Anti-Spam-Plugin vor, dass die Anfrage von der Website selbst stammt, indem sie deren Namen in den Code einbauen.
So reagierte Cleantalk – Update erforderlich für Nutzer:innen
Nachdem Wordfence Alarm geschlagen hatte, hat Cleantalk schnell reagiert. Am 1. November veröffentlichte der Dienstleister den ersten Patch, am 14. November den zweiten. Betroffen von der Lücke waren alle Version vor dem Mitte November erschienenen Update 6.45. Wordfence empfiehlt allen Nutzer:innen früherer Version, auf 6.45 upzugraden.
Von sinnfreien Sicherheitsfragen zu Klartextpasswörtern: Die 10 dümmsten Security-Patzer
Nicht das erste anfällige Plugin für WordPress
Anti-Spam by Cleantalk ist nicht das erste Plugin für WordPress, das Manipulationen von außen Tür und Tor öffnet. Vor ziemlich genau einem Jahr zeigte sich eine Sicherheitslücke bei einem Add-on namens MW WP Form. Damit können WordPress-Nutzer:innen E-Mail-Formulare erstellen und per Shortcode in ihre Seite einfügen. Wie das Anti-Spam-Plugin nutzen auch MW WP Form um die 200 000 Webseiten-Betrieber:innen.
Das ist aber nichts gegen das Plugin Litespeed Cache. Es ist auf über sechs Millionen Seiten im Einsatz. Hier offenbarte sich erst vor kurzem, Anfang Oktober 2024 eine Schwachstelle.