8. August 2014

Custom Contact Forms gehackt Defektes Plugin: Fehler von „Custom Contact Forms“ ermöglicht Admin-Zugriff

,    Schreibe einen Kommentar

Ein Beitrag von Josefine

Share on Facebook3Tweet about this on Twitter8Share on Google+4Share on LinkedIn0Email this to someone

Durch einen Fehler im Plugin „Custom Contact Forms“ können Angreifer administrative Rechte zu eurer gesamten WordPress-Seite erhalten. Mittlerweile gibt es aber einen Patch für das defekte WordPress Plugin. Erst vor kurzem gab es bereits einen ähnlichen Hack-Alarm das Plugin „Mailpoet“ betreffend. Hier erfahrt ihr mehr über die Folgen des Defekts in Custom Contacts Form und was ihr jetzt unternehmen müsst, um die Sicherheitslücke zu schließen.

Custom Contact Forms

Custom Contact Forms bietet viele Möglichkeiten Kontaktformulare anzupassen.

Der Patch

Die Entwickler haben bereits reagiert und einen Patch zur Verfügung gestellt. Das reparierte Plugin hat die Versionsnummer 5.1.0.4 und ist auf der Plugin-Webseite von Custom Contact Forms zu finden. Hier könnt ihr die aktuelle Version herunterladen.

Zugriff auf die Datenbank

Der Fehler eröffnet Angreifern den Zugriff auf die Datenbank der WordPress-Installation, die sich herunterladen, verändern und wieder hochladen lässt. Da hier auch die Benutzerverwaltung einer WordPress-Installation gespeichert ist, können Angreifer diese manipulieren und erhalten durch die geänderten Rechte einen Zugriff auf die gesamte WordPress-Installation. Problematisch ist vor allem, dass sich über die betroffenen Webseiten Schadsoftware an die Besucher verteilen lässt. Noch einfacher wird die Verbreitung der schädlichen Software, wenn Sicherheitslücken in Flashplayer oder Browser vorhanden sind.

Zu viel Zeit vergangen?

Nachdem das Unternehmen Sucuri den Defekt entdeckt hatte, wurde dieser umgehend an die Entwickler gemeldet – doch leider ohne Rückmeldung. Seit der Entdeckung des Fehlers vergingen so mehrere Wochen, bis sich Sucuri an das WordPress Security-Team wandte. Daraufhin gelang es mit den Entwicklern in Kontakt zu treten. Custom Contact Forms wurde, nach Angaben von Sucuri, das auch den Fehler im E-Mail Plugin Mailpoet entdeckt hatte, über 600.000 Mal installiert.

Share on Facebook3Tweet about this on Twitter8Share on Google+4Share on LinkedIn0Email this to someone
Josefine

Josefine

Ob Themes, Plug-Ins oder News aus der Community – Es gibt immer etwas Neues zu entdecken! Und da zum Bloggen mehr als Content gehört, liegen mir besonders die kleinen Kniffe und Tricks, die die Nutzerfreundlichkeit von WordPress ausmachen, am Herzen.
Josefine

Letzte Artikel von Josefine (Alle anzeigen)

Du willst up-to-date bleiben?

Trage dich jetzt in unseren kostenlosen Newsletter ein, um stets die aktuellsten Neuigkeiten rund um Wordpress zu erhalten.

Wir geben deine Daten nicht weiter! Wir hassen Spam genauso wie du!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.