zurück zum Artikel

Schadcode nutzt Monate alte WordPress-Lücke aus

SoakSoak

(Bild: Sucuri)

Der Schädling namens SoakSoak hat hunderttausende Webseiten über das Plug-in Slider Revolution befallen und spioniert die Server aus. In einigen Fällen werden auch Besucher per Drive-By-Download infiziert.

Sicherheitsforscher warnen erneut[1] vor einer seit Monaten bekannten Sicherheitslücke[2] im beliebten WordPress-Plug-in Slider Revolution. Die Lücke wird mittlerweile aktiv ausgenutzt, um die Webseiten mit dem sogenannten SoakSoak-Schadcode zu infizieren. Dieser läd bösartiges JavaScript von der Domain soaksoak.ru nach, was dem Schädling seinen Namen gab. Der Schadcode späht den Webserver aus und infiziert in manchen Fällen auch Besucher der Webseite. Google soll hunderttausende von infizierten Seiten gesperrt haben.

Ein Update für Slider Revolution gibt es seit Februar. Der Code des Plug-ins ist allerdings in einer großen Zahl von WordPress-Themes verbaut und deren Nutzer scheinen sich dessen nicht immer bewusst zu sein. Slider Revolution wird in vielen WordPress-Themes verwendet, um Bilder in Teasern oder Bilderstrecken zu rotieren. Business-Themes nutzen es, um Produkte zu präsentieren oder Menüpunkte der Navigation visuell aufzubereiten. Der Umstand, dass die Software auf Responsive Design ausgelegt ist, macht sie besonders beliebt.

Nutzer des Plug-ins sollten unbedingt sicherstellen, dieses mindestens auf Version 4.2 zu aktualisieren. Bei betroffenen Themes müssen deren Entwickler Abhilfe schaffen. Themes, die im Dezember immer noch eine Sicherheitslücke vom Februar aufweisen, kann man kaum als gut gepflegt ansehen. Nutzer sollten sich überlegen, auf sicherere Alternativen umzusteigen.

Die Sicherheitsfirma Sucuri bietet einen kostenlosen Seiten-Scanner[3] an, der die beschriebene Infektion einer WordPress-Seite entdecken soll. (fab[4])


URL dieses Artikels:
http://www.heise.de/-2498327

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Sicherheitsluecke-in-vielen-WordPress-Themes-2390055.html
[2] http://blog.sucuri.net/2014/12/soaksoak-malware-compromises-100000-wordpress-websites.html
[3] http://sitecheck.sucuri.net/
[4] mailto:fab@heise.de