Als ich am Samstag mal wieder die Zeit hatte, die Heise News zu lesen, stand an erster Stelle gleich der Artikel, Schwerwiegende Schwachstelle in DSGVO-Plugin für WordPress.
Ich selbst habe das Plugin bei Kunden nicht eingesetzt, weiß aber, dass es einige Betroffene gibt, die schleunigst ein Update des Plugins machen sollten. Denn beim Programmieren des Plugins hat sich offensichtlich ein gravierender Fehler eingeschlichen, der es leicht macht, volle Kontrolle über die Website zu bekommen, indem man sich selbst einen Benutzer anlegen kann, den man wiederum zu Administrator der Website erklären kann. Details hat Mikey Veenstra von Wordfence in einem Blog-Beitrag aufgeschrieben.
Diese weit offen stehende Hintertür kann durch die Aktualisierung des Plugins geschlossen werden – der Entwickler hat immerhin dafür gesorgt, dass das Problem in der neuen Version des Plugins nicht weiter besteht.
Ich bin der Meinung, dass so wenig Plugins wie möglich im Einsatz sein sollten – grundsätzlich – unabhängig vom eingesetzten Basis-System.
Wenn mit Bord-Mitteln möglich, sollte man Anforderungen ohne Plugins lösen. Denn egal ob WordPress, TYPO3, OXID eShop oder Shopware (…), jede Erweiterung beinhaltet grundsätzlich Code der potentiell unsicher sein kann. Das bedeutet wiederum ausdrücklich nicht, dass viele Plugins auf jeden Fall eine Unsicherheit bedeuten – das Risiko erhöht sich aber.
Sie können sich das ein bisschen so vorstellen, als ob man viele Medikamente nehmen muss – je mehr verschiedene Medikamente man nimmt, desto größer ist die Gefahr von unerwünschten Wechselwirkungen und Nebenwirkungen.
Update 14.11.2018:
Heute habe ich die erste Website gerettet, die von dem Fehlerhaften und noch nicht aktualisierten Plugin WP GDPR 1.4.2 betroffen war. So konnte ich eimal sehen, wie die Lücke unter anderem ausgenutzt wird. In dem Fall waren die Auswirkungen relativ harmlos. Es wurden zwei Administrator-Accounts in der WordPress-Installation angelegt. So konnte der Hacker einen Ordner in den Theme-Ordner einschleusen in dem er wiederum Schadcode versteckt hatte. Der führte dazu, dass wenn man die Website aufrief auf irgendeine scheinbar willkürliche Webiste weitergeleitet wurde. Es war in diesem Fall glücklicherweise keine Porno-Website oder ähnliches.
Ich bin gespannt, ob in den nächsten Tagen die nächsten Website-Betreiber Alarm schreien.