Mehr als 4 Millionen Seiten betroffen: Kritische Sicherheitslücke im WPBakery-Plugin

Das Plugin WPBakery in der Version 6.4. oder niedriger hat eine kritische Sicherheitslücke. WPBakery ist ein Website-Builder, dem nach Angaben des Herstellers 4,3 Millionen Seitenbetreiber ihr Vertrauen schenken. Das Einfallstor ermöglicht Hackern das Einschleusen von schadhaftem JavaScript-Code über einen Account mit Contributor-Rechten.

Entdeckt wurde das Sicherheitsproblem vom Team des WordPress Security-Anbieters Wordfence, die WPBakery bereits Ende Juli  über ihre instabile Plugin-Version informierten. Erst zwei (!) Monate später veröffentlichten die Seitenbäcker mit der 6.4.1 einen Sicherheitspatch. Zu diesem Zeitpunkt dürften bereits einige Websites infiziert gewesen sein, es sei denn, und das ist nun der angenehme Werbepart für Wordfence, die Webmaster hatten auch Wordfence am Start…

Nutzer der Premium-Version wurden unmittelbar nach Entdecken der Sicherheitslücke am 27.7.2020 vor Attacken geschützt, der nicht zahlende Anwender kam erst einen Monat später in diesen Genuss.

Wer ist betroffen?

Betroffen sind alle Seiten, die WPBakery einsetzen und die User-seitige Registrierung von neuen Benutzern erlauben. Anwender, die also per se keine Nutzer-Registrierung in WordPress erlauben, können erst einmal aufatmen.

Zudem gibt es auch Themes, die mit WPBakery erstellt wurden, aber aus Komtabilitätsgründen auf älteren Versionen laufen. Hier wird es vertrackt mit den Theme-Updates und es wäre an der Zeit, über ein neues WordPress-Theme nachzudenken.

Die Schwachstellen

Welche Bugs behoben die Entwickler von WPBakery im Detail? Zuvor existierte eine Schwachstelle, die es Nutzern mit Contributor/Autoren-Rechten erlaubte Schadcode auf Seiten oder in Beiträgen zu platzieren.

Die Schwachstelle ermöglicht das Einfügen von HTML und JavaScript in Beiträge anderer Autoren.

Möglich wurde dieser kriminelle Akt durch die von WPBakery deaktivierten HTML-Filterchecks in der saveAjaxFe in Verbindung mit kses_remove_filters();. Dadurch konnten nicht nur die gebackenen Seiten infiltriert werden, sondern auch Beiträge, die mit dem Classic Editor erstellt wurden.

Über Button-Shortcodes ließ sich ebenfalls schadhaftes Javascript unterjubeln. Ein Klick und der Albtraum beginnt…

Fazit

Also, liebe Unternehmer und privaten Homepagebauer, die ihr auf WPBakery setzt, bitte loggt euch umgehend ein, macht ein Backup vom alten Stand und bringt dann den Website-Builder auf den neuesten Stand. Schaut euch die User-Accounts an und prüft, dass ihr nicht schon Opfer eines Cross-Site Scripting-Angriffs wurdet.

Falls die Alarmglocken schon läuten, dann wendet euch bitte an die Webagentur eures Vertrauens oder versucht in Eigenregie mit einem Service wie Sucuri euer Glück.

Beitragsbild: Nadya Spetnitskaya

Michael Dobler

Michael Dobler

Ich bin der Herausgeber von Dr. Web. Um praxisfit zu bleiben, unterstütze ich darüber hinaus Kunden bei der digitalen Kundengewinnung und Kundenbindung. Erste eigene Gehversuche im Internet unternahm ich 1999 mit einem Kinomagazin. Nach 15 Jahren in Lohn und Brot, u.a. als Projektmanager für digitale Medien, machte ich mich schließlich Ende 2005 selbständig. Das war die beste berufliche Entscheidung meines Lebens.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Inhaltsverzeichnis

Unser Newsletter...

bietet Ihnen nützliche Tipps, die Ihren Arbeitsalltag erleichtern.

Teilen auf:

Facebook
Twitter
XING
WhatsApp

Lesenswert

Reguläre Expressionen im CSS

Diese CSS-Selektoren sollten Sie kennen

In CSS gibt es jede Menge interessanter Selektoren, die versierten Frontend-Entwicklern zwar grundsätzlich bekannt sind, die dennoch oftmals nur sparsam zum Einsatz kommen. Das liegt

So gelingt die realistische Foto-Retusche - Ein Screenshot eines Handys - Photopea

Weg mit Photoshop! Es gibt kostenlose Alternativen

Adobe Photoshop ist der Platzhirsch, doch es gibt Alternativen, die dazu noch kostenlos sind. Die wichtigsten Funktionen zur Bildverbesserung, wie etwa die Einstellung der Helligkeit und des Kontrasts, der Farbwerte sowie der Bildschärfe, sind auch damit kein Problem, wenn auch der Profi zahlreiche Funktionen oder die Unterstützung von Bildformaten oder -Modi vermissen wird.

Dr. Web Newsletter