Tausende WordPress-Blogs zu schädlichen Websites umgeleitet

Die Zugangsdaten für WordPress-Datenbanken liegen im Klartext vor. Die Hacker griffen über falsch konfigurierte Apache-Webserver auf die Passwörter zu. Der hauptsächlich betroffene Provider Network Solutions will das Problem inzwischen gelöst haben.

Hacker haben die Zugangsdaten für Tausende WordPress-Datenbanken herausgefunden und die zugehörigen Blogs auf Malware-verseuchte Websites umgeleitet. Von den Angriffen waren hauptsächlich WordPress-Blogs betroffen, die von Network Solutions gehostet wurden. Die Angriffe waren aber wahrscheinlich nicht speziell auf Network Solutions abgestimmt, sondern nutzten mehrere WordPress-Schwachstellen aus.

David Dede, ein Sicherheitsspezialist von Sucuri Security Labs hat den Vorfall analysiert. Ihm zufolge speichern WordPress-Blogs Zugangsdaten für die Datenbank generell im Klartext. Diese Daten ließen sich trotz installierter Sicherheitsupdates daher leicht stehlen.

Der Spezialist beschreibt die Attacke so: WordPress speichert die Zugangsdaten im Klartext in der Datei „wp-config.php“. Diese Konfigurationsdatei sollte eigentlich nur für den Webserver Apache lesbar sein. Einige Anwender hatten den Server allerdings so konfiguriert, dass die Datei von jedermann gelesen werden konnte (Modus 755, statt 750).

Ein Anwender von Network Solutions hatte ein Script geschrieben, um genau die Konfigurationsdateien zu finden, die auf falsch konfigurierten Apache-Servern gespeichert waren. Nachdem er die Dateien hatte, besorgte er sich die Zugangsdaten der zugehörigen Datenbanken. Danach startete er die eigentliche Attacke und manipulierte die Datenbanken der betroffenen Blogs. Als Resultat wurde die Webadresse des Blogs auf Malware-Sites umgeleitet.

Network Solutions hat nach eigenen Angaben inzwischen eine Lösung für das Problem implementiert. Das Unternehmen schreibt: „Als Teil der Lösung mussten wird die Datenbank-Passwörter ändern. Normalerweise hat das keinen Einfluss auf die Funktion des jeweiligen Blogs. Wenn Anwender aber in einigen Fällen eigenen Code mit integrierten Passwörtern benutzen – in anderen Dateien als „wp-config“ – muss dieser entsprechend geändert werden.“ Alle WordPress-Nutzer sollten zudem vorsichtshalber ihr Administrator-Passwort ändern und alle Konten kontrollieren, die Zugriff mit Administrator-Rechten ermöglichen.

Themenseiten: Hacker, WordPress.org

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Tausende WordPress-Blogs zu schädlichen Websites umgeleitet

Kommentar hinzufügen
  • Am 13. April 2010 um 18:00 von Michael Schwarz

    Spezieller "Sicherheitsspezialist" ;O)
    "Die Zugangsdaten für WordPress-Datenbanken liegen im Klartext vor."

    Die Zugangsdaten zur Datenbank müssen in einer Konfigurationsdatei im Klartext vorliegen, sonst wäre kein Zugriff auf die Datenbank möglich. Solche Dateien sollten natürlich auf 644 gesetzt sein, um den Zugriff von Unberechtigten zu unterbinden.

    "Einige Anwender hatten den Server allerdings so konfiguriert, dass die Datei von jedermann gelesen werden konnte (Modus 755, statt 750)."

    Den Server hat der Anwender dafür sicher nicht neu konfiguriert, er hat nur die Zugriffsrechte für die Datei falsch gesetzt.

    Das alles hat recht wenig mit WordPress selber zutun, nur mit einem unwissenden Anwender.

    • Am 13. April 2010 um 20:01 von Michael Schwarz

      AW: Spezieller „Sicherheitsspezialist“ ;O)
      Da haben wir aber geschlafen Herr Besserwisser. :O) 640 sollte es sein.
      Je nach Konfiguration des Servers kann auch 400 ausreichend sein, da diese Datei nur von WP gelesen wird und niemals geschrieben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *