Vorgestern hat Google über 11.000 Internetseiten auf die schwarze Liste gesetzt, weil sie die die neueste Malware von soaksoak.ru verteilten. Eine Untersuchung des Sicherheitsunternehmens Sukuri.net ergab Hunderttausende von kompromittierten Internetseiten auf Basis des freien Blog- und CMS-Systems WordPress.
Das liegt aber nicht etwa an WordPress selbst – die Schadsoftware kommt wie so häufig auch hier über ein Plugin ins System. Die SoakSoak-Malware verändert den Template-Lader wp-includes/template-loader.php von WordPress und sorgt so dafür, dass jeder Seitenaufruf auch die Datei wp-includes/js/swfobject.js aufruft. Dieses Script ruft dann bei jedem Seitenaufruf die Javascript-Schadroutine vom Server soaksoak.ru ab.
Die dafür benutzte Sicherheitslücke steckt in älteren Versionen des Wordpress-Plugins Slider Revolution.
Leider ist das für Responsives Webdesign genutzte Plugin Slider Revolution nicht nur weit verbreitet Plugin, sondern kommt auch häufig als Teil von WordPress-Themes auf den Server, ohne dass es dem Betreiber besonders auffällt – besonders bei Webspace-Providern.
Darüber hinaus ist diese WordPress-Erweiterung auch noch kostenpflichtig und wird nicht immer automatisch upgedatet – diese drei Faktoren lassen verstehen, warum so viele WordPress-Seiten infiziert wurden.
Wer wissen möchte, ob seine WordPress-Seiten noch in Ordnung sind, sollte den freien SiteCheck-Scanner von Sukuri.net benutzen.
Der SiteCheck-Scanner arbeitet komplett online. Sie geben nur die Domain ein, die geprüft werden soll, und klicken dann die Schaltfläche „Scan Website!“ an.
Nach Abschluss der Überprüfung sehen Sie eine Seite, die den Sicherheitszustand der überprüften Seite bezüglich Malware, Blacklisting, Injected SPAM und Defacements anzeigt.
Die letzte Kategorie “Website Firewall” habe ich als Werbung für die Produkte des Herstellers interpretiert…
