Unsichtbare Hintertür: Hacker kapern WordPress über „mu-plugins“

• „wp-content/mu-plugins/redirect.php“: Leitet Seitenbesucher auf eine externe, schädliche Webseite um. Die Datei tarnt sich dabei als vermeintliches Browser-Update, um Nutzer zur Installation von Malware zu verleiten – darunter Spionagesoftware oder nachgeladene Schadprogramme.
• „wp-content/mu-plugins/index.php“: Funktioniert wie ein Web-Shell und erlaubt es Angreifern, beliebigen Code auszuführen – etwa durch das Nachladen eines entfernten PHP-Skripts, das auf GitHub gehostet wird.
• „wp-content/mu-plugins/custom-js-loader.php“: Manipuliert infizierte Webseiten durch das Einfügen von Spam-Inhalten. Alle Bilder werden durch explizite Inhalte ersetzt, ausgehende Links werden zu betrügerischen Webseiten umgeleitet – vermutlich, um betrügerische Angebote zu pushen oder Suchmaschinen-Rankings zu manipulieren.

„Das Skript enthält eine Funktion, mit der erkannt wird, ob der aktuelle Besucher ein Bot ist“, erklärt Puja Srivastava. „Auf diese Weise kann das Skript Suchmaschinen-Crawler gezielt ausschließen – und so verhindern, dass die Umleitungsmechanismen entdeckt werden.“

Diese Entwicklung zeigt einmal mehr, wie Bedrohungsakteure kompromittierte WordPress-Webseiten als Ausgangspunkt nutzen, um ahnungslose Besucher zu täuschen. Aktuell wird dabei eine besonders perfide Methode eingesetzt: Nutzer werden dazu gebracht, angebliche Google reCAPTCHA- oder Cloudflare-CAPTCHA-Prüfungen zu absolvieren – hinter denen sich in Wahrheit schädliche PowerShell-Befehle verbergen, die auf Windows-Systemen ausgeführt werden. Diese Technik, bekannt als ClickFix, dient der Verbreitung der Malware Lumma Stealer.

Doch damit nicht genug: Kompromittierte WordPress-Seiten werden auch dazu verwendet, schadhaften JavaScript-Code einzuschleusen. Dieser kann entweder Besucher auf dubiose Drittanbieter-Seiten umleiten oder als Skimmer fungieren, um Zahlungsinformationen direkt auf Checkout-Seiten abzugreifen.

Wie genau die betroffenen Webseiten kompromittiert wurden, ist bislang unklar. Doch die üblichen Verdächtigen sind schnell ausgemacht: unsichere Plugins oder Themes, gestohlene Zugangsdaten oder Fehlkonfigurationen auf Serverebene.

Laut einem aktuellen Bericht von Patchstack nutzen Bedrohungsakteure seit Jahresbeginn gezielt vier gravierende Sicherheitslücken in populären WordPress-Plugins aus – mit teils katastrophalem Schadenspotenzial:

• CVE-2024-27956 (CVSS-Score: 9,9): Eine Schwachstelle im WordPress Automatic Plugin – AI Content Generator and Auto Poster, über die Angreifer ohne Authentifizierung beliebige SQL-Befehle ausführen können.
• CVE-2024-25600 (CVSS-Score: 10,0): Eine kritische Remote-Code-Execution-Lücke im populären Bricks-Theme, die ebenfalls ohne Authentifizierung ausgenutzt werden kann.
• CVE-2024-8353 (CVSS-Score: 10,0): Eine PHP Object Injection im GiveWP-Plugin, die direkt zur Ausführung beliebigen Codes führt – ein Einfallstor mit maximalem Risiko.
• CVE-2024-4345 (CVSS-Score: 10,0): Eine Schwachstelle in den Startklar Elementor Addons, die beliebige Dateiuploads ermöglicht – ohne vorherige Anmeldung.

Um sich vor diesen Bedrohungen zu schützen, empfiehlt Patchstack dringend folgende Maßnahmen:

• Plugins und Themes konsequent aktuell halten
• Den Code regelmäßig auf Schadsoftware überprüfen
• Starke Passwörter durchsetzen und Zugriffsrechte minimieren
• Eine Web Application Firewall (WAF) einsetzen, um schädliche Anfragen zu blockieren und Code-Injektionen zu verhindern