Genau wegen solchen Fällen gibt es immer mehr Menschen die glauben das WordPress unsicher ist. Ich verstehe die Webseiten Webmaster echt nicht.

Der Fall

Im November 2021 wurde eine grobe Sicherheitslücke bei einem Plugin mit dem Name ≪Modern WPBackery Page Builder≫ entdeckt. Das ist ein kleines Plugin das Funktionserweiterungen für den bekannten WPBackere Page Builder hinzufügt. Eigentlich wäre so eine Sicherheitslücke kein Problem, wenn denn der Pluginprogrammierer hingehen würde und ein Patch zu verfügung stellen würde. Das ist hier aber nicht passiert, denn dieses Plugin wurde schon damals nicht mehr weiterprogrammiert und war somit damals schon faktisch tot.

Die Hacker sind nicht blöd

Heute wurde nun bekannt, dass die Hacker sich diese Gelegenheit nicht entgehen lassen konnten und somit sind sie bereits dabei die Webseiten mit diesem Plugin anzugreifen. Bisher wurden über 1.6 Millionen Webseiten verseucht.

Ich finde sowas immer spannend und auch hier wirds interessant.

Anscheinend ist diese Sicherheitslücke in allen Versionen dieses Plugin drin und so läuft der Angriff ab.

Zuerst laden die Hacker eine Datei unbemerkt in die Mediathek hoch, danach wird das File entpackt und in den Uploads findet ihr einen neuen Ordner mit dem Name Kaswara und einer php Datei. Danach wird diese Datei ausgeführt und eure Webseite ist voller fieser kleiner Javascript Würmer – die im Endeffekt die Webseite komplett übernimmt

Was kann man dagegen tun?

Da dieses Plugin nicht mehr weiterentwickelt wird, wirds auch nie ein Patch dafür geben, somit bleibt nur 1 Lösung und zwar sofortige Löschung dieses Plugin! Und dann muss man mal schauen gehen ob man schon angegriffen worden ist und dann bleiben einem nur die normalen Sicherheitsmassnahmen die bis zur kompletten Löschung und absolutem Neubau gehen kann.

Warum sind die Webmaster so doof?

Eigentlich wollte ich direkt fragen, warum die Webmaster so dumm sind. Ich habe ja nichts dagegen wenn man sein WordPress mit einem Pagebuilder aufbaut, diese Webseite ist ja auch mit Divi gemacht und ich bin glücklich damit. Aber wenn man eine WordPress Webseite hat, dann muss man regelmässig alle Updates durchführen. Ausser Sicherheitskritische Updates muss man natürlich nicht alles immer sofort updaten – abwarten ist manchmal die schlauere Methode – aber man sollte wenigstens regelmässig checken ob die eingesetzten Plugins noch weiterentwickelt wird. Es gibt ja Plugins die muss man nur selten updaten, so habe ich auch Plugins im Einsatz die schon seit +8 Jahre nicht mehr aktualisiert worden sind aber immer noch wunderbar funktionieren. Aber wenn ich sehe das ein Theme oder ein Plugin nicht mehr weiterentwickelt wird, dann fliegt es sofort raus – totes Zeug kann ich nicht brauchen.

Genau aus diesem Grund sage ich immer, eine Webseite haben ist nur ein kleiner Teil – danach muss eine Webseite auch gepflegt werden und überwacht werden – denn nur dann kann nichts passieren.