Das sehr oft genutzte WordPress-Plugin Ultimate Member, welches auf über 200.000 Websites installiert ist, zeigt eine gefährliche Schwachstelle. Diese wird zurzeit aktiv von bösartigen Akteuren ausgenutzt, um schädlichen Code in betroffene Websites einzuführen.
Das Team von Wordfence Threat Intelligence konnte diese bisher Sicherheitslücke am 29. Juni 2023 identifizieren.
Kritische Sicherheitslücke in Ultimate Member
Die kritische Sicherheitslücke öffnet Angreifern Tür und Tor, sich mit Administratorrechten auf einer Website zu registrieren. Mit einem Admin-Account haben diese dann vollen Zugriff.
Das gelingt durch die Ausnutzung einer voreingestellten Liste blockierter Benutzerschlüssel, die das Plugin eigentlich als Schutzvorrichtung einsetzt. Kriminelle haben die Möglichkeit, die Werte von „wp_capabilities“, die die Benutzerrolle auf der Website definieren, auf „Administrator“ zu setzen und damit die volle Kontrolle über die Website zu erlangen. Auf diese Weise können Daten Ihrer Mitglieder in falsche Hände geraten oder auf der Website wird Schadcode eingefügt.
Insgesamt muss diese Sicherheitslücke als ernsthafte Bedrohung eingestuft werden.
Wichtig: Patch 2.6.6 ist unzureichend
Obwohl kürzlich die Version 2.6.6 des Plugins bereitgestellt wurde, bleibt die Sicherheitslücke in Ultimate Member weiterhin ein Problem.
Aufgrund dessen empfahl das Team von Wordfence dringend, das Plugin zu deaktivieren, bis eine vollumfängliche Lösung präsentiert wird.
Patch 2.6.7 schließt die Sicherheitslücke
Am 1. Juli 2023 wurde ein Patch veröffentlicht, der die Sicherheitslücke schießt.
Bitte stellen Sie sicher, dass Sie auf Version 2.6.7 aktualisieren!
Hinweise für Betroffene
Falls Sie befürchten, betroffen zu sein, gibt es einige Hinweise, die auf einen erfolgreichen Angriff deuten. Neu erstellte Benutzerkonten mit Administratorrechten und ungewöhnliche Benutzernamen wie „wpengine“, „wpadmins“, „wpengine_backup“, „se_brutal“ und „segs_brutal“ könnten auf einen solchen hinweisen. Darüber hinaus empfehlen wir, auch auf verdächtige IP-Adressen in den Zugriffsprotokollen Ihrer Website sowie auf plötzlich auftauchende Plugins und Themes zu achten.
Solche Sicherheitslücken zeigen immer wieder, wie wichtig die WordPress Wartung ist. Betroffene Websites lassen sich nur mit enormem Zeitaufwand wieder bereinigen, falls dies überhaupt möglich ist. Eine Datensicherung der kompletten Website sollte deshalb regelmäßig gemacht werden. Zahlreiche WordPress Plugins erleichtern Ihnen hierbei die Arbeit. In unserem Leitfaden „WordPress Backup erstellen“ finden Sie eine Schritt-für-Schritt-Anleitung.
Haben Sie als Unternehmen oder Selbstständiger so schon keine Zeit? Dann schließen Sie einen Wartungsvertrag für die Wartung Ihrer Website ab. Der Aufwand und ebenso der Imageschaden können beträchtlich sein. Wir übernehmen das gerne für Sie. Bei auftretenden Problemen werden durch uns Patches zeitnah eingespielt und das Risiko minimiert. Lassen Sie uns einfach mal ins Gespräch kommen, wenn Sie sich für diesen Service interessieren.
