Laut dem IT-Newsdienst Heise.de haben Sicherheitsforscher vor Kurzem eine kritische Lücke bei dem weit verbreiteten WordPress-Plugin MailPoet entdeckt. Das MailPoet-Plugin, welches früher unter dem Namen Wysija-Newsletters bekannt war, ermöglicht ein komfortables erstellen und verwalten von Newslettern über die Wordpress-Administrationsoberfläche.
Wegen eines Fehlers in der Programmierung können beliebige Benutzer, die eigentlich nur für den Administrator zugängliche Upload-Funktion von WordPress nutzen, um beliebige Dateien auf den Server hochzuladen. Meist wird von Kriminellen eine speziell präparierte PHP-Datei mit einer Hintertür installiert, über die dann der Server kontrolliert werden kann.
Diese Hintertür wird dann unter anderem für den Versand von Spam-Mails ausgenutzt. Um dies zu bewerkstelligen, werden an verschiedenen Stellen der WordPress-Installation neue PHP-Dateien hochgeladen oder vorhandene PHP-Dateien verändert. Die Reinigung eines auf diese Weise infizierten Systems ist sehr mühsam, weil der manipulierte Code nicht einfach aufzuspüren ist.
Zusätzlich wird das Datum der manipulierten und neuen Dateien auf einen unverdächtigen Zeitpunkt gesetzt, so dass man daran nicht erkennen kann, ob eine Datei manipuliert wurde. Einen Anhaltspunkt für eine Überprüfung kann eine Suche nach PHP-Funktionen mit _replace, _decode oder eval sein. Für eine zuverlässige Desinfektion wird das leider nicht ausreichen, wahrscheinlich ist es nötig das WordPress-System neu aufzusetzen.
Die Entwickler von MailPoet haben glücklicherweise umgehend reagiert und eine aktualisierte Version mit der Nummer 2.6.9. veröffentlicht. Da die Sicherheitslücke bei allen vorhergehenden Versionen des Plugins vorhanden ist und bereits aktiv von Kriminellen ausgenutzt wird, sollte das betroffene Plugin unverzüglich aktualisiert oder entfernt werden.
Wir helfen Ihnen gerne bei der Überprüfung und beim Update des Plugins. Sollten Sie das Plugin selbst aktualisieren wollen, ist ein vorheriges Backup der Inhalte des Webservers und der MySQL-Datenbank unbedingt anzuraten.