Sicherheitslücke in WP GDPR Compliance – handeln Sie umgehend!

Nutzen Sie das Plugin „WP GDPR Compliance“? Wenn ja, haben Sie – zusammen mit 100.000 weiteren Benutzern – vermutlich ein Problem.

Um welches Plugin geht es?

Das Plugin „WP GDPR Compliance“ ist beliebt, weil es verspricht, Websitebetreiber und Webshopbesitzer bei der Einhaltung der EU-Datenschutzgrundverordnung (DSGVO oder auf englisch: GDPR) zu unterstützen.

Diese Unterstützung besteht nur in drei Punkten: Es setzt Einwilligungsabfragen

1. in zwei gängige Formularprogramme (Contact Form 7; Gravity Forms),
2. in die Kommentarfunktion sowie
3. in WooCommerce

Hierfür bedarf es eigentlich nicht dieses Plugins. In die Formulare kann eine solche Einwilligung -sofern überhaupt erforderlich- auch ohne ein zusätzliches Plugin eingefügt werden. Bei der Kommentarfunktion bietet WordPress out of the box die erforderliche (und ausreichende) Unterstützung. Und bei WooCommerce? Da dürfte jeder deutsche Shopbetreiber wegen der erforderlichen Anpassungen an die deutschen Rechtsvorschriften sowieso eines der darauf spezialisierten Programme – German Market oder Germanized (Pro) – einsetzen. Diese Plugins haben aber auch rechtzeitig Updates herausgebracht, in denen die Anforderungen der DSGVO – zumindest in dem Umfang, den WP GDPR Compliance bietet – bereits berücksichtigt werden: bei „German Market“ ist dies ab Version 3.6 der Fall, bei Germanized ab Version 1.9.10 und bei Germanized Pro ab Version 1.8.6.

Aber es ist wie es ist: in der Zeit vor und teilweise auch noch nach dem DSGVO-Stichtag traf ein Plugin wie „WP GDPR Compliance“ den allgemeinen Hysterie-Nerv und wurde über 100.000 mal installiert. Alles in allem also eine Erfolgsstory aus dem WordPress-Bilderbuch. Bis Mittwoch.

Was ist passiert und was ist zu tun?

Am Mittwoch wurde das Plugin wegen mehrerer bestehender Sicherheitslücken zunächst aus dem Pluginverzeichnis auf wordpress.org entfernt. Aufgrund dieser Sicherheitslücken war es nicht authentifizierten Angreifern möglich, eine Privilegieneskalation zu erreichen. Ein Angreifer konnte also unter Ausnutzung dieser Sicherheitslücken auf einer beliebigen WordPress-Installation, auf der sich dieses Plugin befand, einen neuen Benutzer mit Administrationsrechten anlegen und auf diesem Weg Kontrolle über die gesamte WordPress-Installation erlangen.

Inzwischen ist eine neue Version 1.4.3 erschienen, in der die Sicherheitslücke geschlossen sein soll. Diese neue Version ist auch wieder im WordPress-Pluginverzeichnis verfügbar.

Über den genauen Umfang und das Risiko der entdeckten Sicherheitslücken schweigen sich die Pluginautoren aus, sie bestätigen nur im Changelog für die neue Version 1.4.3 drei Security fixes:

• Security fix: Removed base64_decode() function.
• Security fix: Correctly escape input in $wpdb->prepare() function.
• Security fix: Only allow modifying WordPress options used by the plugin and by the user capabilities.

Updaten und alles ist wieder gut?

Wie immer bei entdeckten Sicherheitslücken lautet natürlich der erste Rat: Wenn Sie dieses Plugin nutzen, aktualisieren Sie es sofort auf die neue Version 1.4.3. Oder noch besser: Überlegen Sie, ob der Einsatz dieses Plugins bei Ihnen überhaupt Sinn macht oder aus den beschriebenen Gründen vielleicht doch überflüssig ist.

Aber damit ist es diesmal nicht getan, denn die Sicherheitslücken wurden (und werden) bereits auf einer Vielzahl von WordPress-Installationen massiv aktiv ausgenutzt. Betroffen hiervon sind eine Vielzahl von WordPress-Installationen.

Wenn Sie also das Plugin „WP GDPR Compliance“ im Einsatz gehabt haben, reicht daher nicht, die Sicherheitslücken durch Updaten oder Entfernen des Plugins zu schließen. Vielmehr müssen Sie Ihre WordPress-Installation darauf überprüfen, ob diese auch bereits betroffen ist.

Was sollten Sie überprüfen?

Hatten Sie „WP GDPR Compliance“ im Einsatz, sollten Sie mindestens diese Punkte überprüfen:

• Kontrollieren Sie, ob neue Benutzer angelegt wurden; diese neuen Benutzer besitzen im Regelfall Admin-Rechte, im Benutzernamen bzw. in der für den Benutzer angegebenen Mail-Adresse findet sich im Regelfall ein „trollherten“, die Benutzer heißen etwa t2trollherten oder t3trollherten.
• Kontrollieren Sie unter Einstellungen > Allgemein die Einstellung zur Benutzerregistrierung („Jeder kann sich registrieren“).
• Kontrollieren Sie unter Einstellungen > Allgemein, ob die dort für Administrationszwecke eingetragene E-Mail-Adresse geändert wurde.
• Kontrollieren Sie, ob sich auf Ihrem Webspace neue Dateien befinden.
• Kontrollieren Sie, ob neue Beiträge, Seiten oder WooCommerce-Artikel angelegt wurden; diese könnten Malware enthalten.
• Kontrollieren Sie, ob bestehende Beiträge, Seten oder WooCommerce-Artikel geändert wurden.

Diese Überprüfungen sollten Sie auch vornehmen, wenn Sie eine Web-Application-Firewall wie etwa NinjaFirewall oder WordFence einsetzen. Zwar gehen die Entwickler von NinjaFirewall davon aus, dass ihre Firewall diese Angriffe abgefangen hat, aber zumindest für eines dieser Firewall-Plugins gibt es eine Meldung, dass ein Angriff über den „WP GDPR Compliance“-Exploit trotz eingeschalteter Firewall erfolgreich war.

Probleme mit dem Update oder der Bereinigung? Wir helfen gerne weiter.

Kunden von WP-Projects, die das „Plugin WP GDPR Compliance“ in der betroffenen Version im Einsatz hatten, haben wir bereits gesondert über das Sicherheitsrisiko informiert. Sollten Sie von diesem Problem betroffen sein und Fragen zur Bereinigung Ihrer Website haben oder Hilfestellung dazu benötigen, dann stehen wir Ihnen jederzeit gerne mit Rat und Tat zur Seite. Bitte kontaktieren Sie uns dazu telefonisch oder über unser Kontaktformular.