Der MailPoet Hack

50.000+ WordPress Seiten gehackt

Hack-Alarm auf WordPress-Seiten: Aufgrund einer Sicherheitslücke im E-Mail Plugin „MailPoet“ wurden zahlreiche Web-Server angegriffen. Diese Meldung machte vor kurzem in den großen Medien die Runde und auch Pressengers war von dem Hack betroffen. Ein Erfahrungsbericht.

mailpoet

MailPoet ist ein wirklich gutes Newsletter Plugin – war aber leider der Grund für den Hack.

Was passierte

Am Samstag vor drei Wochen werkelte ich gerade ein wenig an Pressengers herum, als ich live ein paar komische Fehler bemerkte. Die Seite wurde nicht mehr komplett im mobilen Bereich dargestellt, sondern lud ab Mitte des jeweiligen Beitrags nicht mehr.

Ich versuchte, das Problem direkt zu lösen – immerhin konnte man die Webseite auch über das Wochenende nicht so lassen. Doch je mehr ich daran arbeitete, desto mehr schmierte mir Pressengers ab. Zunächst wurden alle Plugins deaktiviert. Danach konnte ich die Plugin Seite im Backend nicht mehr aufrufen. Dann rauchte das Backend ab. Und so langsam bemerkte ich, dass ich zufällig in diesem Moment live den Hack beobachtet hatte.

Das Vorgehen

Zunächst rief ich bei unserem Hoster All-Inkl.com an. Dort haben wir einen Managed Server. Interessanterweise erfuhr ich, dass dort einmal pro Monat (!) Backups gemacht werden. Das letzte Backup war schon Tage her. Parallel rief ich über Facebook nach Hilfe und bekam trotz sonnigen 30° an einem Samstagnachmittag sofort gute Hilfe und Tipps. Den Hack konnte man in der WP-Config gut sehen. Über dem gesamten Code war ein riesiger Code“Batzen“ und hatte nicht nur Pressengers, sondern auch andere WordPress Installationen auf dem Server befallen.

Das Aufräumen dauerte insgesamt mehrere Tage, da wir teilweise erneut gehackt wurden. Schuld war höchstwahrscheinlich MailPoet. Zumindest wurden wir in acht Jahren WordPress vorher noch nie gehackt. Doch der Hack betraf nicht nur uns, sondern so gut wie alle WordPress Installationen mit MailPoet.  Außerdem: War der Hack gelungen, konnte der Hacker den kompletten Server verseuchen. Bei uns betraf das Dutzende von Domains. Das nennt sich dann „Cross-contamination“. Interessanterweise passierte eigentlich nichts Schlimmes mit unseren Webseiten: Sie gingen nur nicht mehr, aber sonst gab es keine Zwischenfälle.

Warum?

Die Frage ist nun: Warum hat sich der Hack so schnell verbreitet? Böse Zungen behaupten, das läge daran, dass Sucuri.net zu früh darüber berichtet habe. Die Sicherheitsfirma Sucuri hatte MailPoet auf die Sicherheitslücke aufmerksam gemacht. An exakt dem Tag, an dem MailPoet diese Lücke durch ein Update schloss, berichtete Sucuri schon über die Lücke.

Wie oft updated ihr eure Plugins? Wir machen es regelmäßig, aber auf keinen Fall täglich. Den MailPoet Usern wurde also praktisch keine Zeit gegeben, das Plugin zu aktualisieren. MailPoet hat das scharf kritisiert. Auch Pressengers wurde so getroffen, die Zahlen von betroffenen Webseiten gehen weit auseinander: Zwischen 50.000 und 1.700.000 (1,7 Millionen!) WordPress Installationen waren (und sind teilweise noch) betroffen.

Natürlich: MailPoet hat fast zwei Wochen benötigt, um ihr Sicherheisleck zu stopfen. Ich persönlich finde es allerdings nicht in Ordnung, dass Sucuri die Lücke am Tag des Patch-Releases gebloggt hat. Auch Hacker lesen bei Sucuri mit und kamen so vielleicht erst auf die Idee, die Lücke auszunutzen.

Was wir gelernt haben

Der Hack war letzten Endes sehr lehrreich. Was mich der Hack gelernt hat:

  1. „Managed“ Server von der Stange sind fürchterlich gemanaged. Wir haben entdeckt, dass eigentlich alle Server nicht wirklich up-to-date waren. Das war zwar nicht der Grund des Hacks, aber trotzdem waren wir überrascht, wie wenig hier anscheinend getan wird. Wir sind daher zu einem anderen Hoster gewechselt und haben einen sehr guten neuen Techniker, der unsere Seiten von Hand managed.
  2. Macht tägliche Backups eurer Seite! Zusätzlich noch monatlich und einmal die Woche. Ihr werdet es bereuen, wenn ihr es später einmal nicht getan habt!
  3. Schaltet alle Plugins aus, die ihr nicht benutzt. Viele WordPress User haben oft noch „Leichen im Keller“ von alten Plugins, die nicht mehr gebraucht werden. Löscht diese Plugins komplett vom Webspace.
  4. WordPress ist niemals richtig sicher. Je sicherer ihr die Installation macht, desto mehr seid ihr dann eingeschränkt. Wir hatten im ersten Anlauf einen Techniker, der uns fast alle Funktionalitäten der Seite genommen hatte.
  5. Wer gehackt wurde, kann sich auf einige Tage oder Wochen der Unruhe einstellen. Deshalb am besten vorher alles machen (Backups / Sicherheit checken) und dann hinterher weniger ärgern!

Wir nutzen MailPoet übrigens weiterhin, weil es einfach – abgesehen vom Hack – wirklich ein großartiges Plugin für Newsletterversand ist.

Was ist eure Meinung?


Julian Dziki

Geschäftsführer bei Seokratie GmbH
In mehr als sieben Jahren habe ich über 100 WordPress Projekte erstellt. WordPress ist meine geheime Leidenschaft.

Letzte Artikel von Julian Dziki (Alle anzeigen)

Kommentare zu "50.000+ WordPress Seiten gehackt"
  1. […] wodurch einige zehntausend WordPress Installationen auf der Welt gehackt wurden. Wenn ich das heute so lese, dann habe ich wohl wahnsinniges Glück gehabt, genau in dem Moment wo das Update raus kam am […]

  2. Mark Max Henckel schrieb am 6. August 2014, um 21:21 Uhr:

    Bestätigt mich daran, diese Sache nicht zu nutzen. Bisher kam ich nicht in die Verlegenheit. Es gibt Alternativen, die natürlich von den Zielsetzungen und Bedürfnissen abhängen. Das MailPoet bei WordPress derart verbreitet ist, ist mir jedenfalls ein Rätsel.

  3. Max Schmidt schrieb am 7. August 2014, um 02:20 Uhr:

    Zu der Sache mit den Backups:
    Für WordPress nutze Ich „BackWPup“. Das lädt jeden! Tag um 3:00 Uhr die gesamte WordPress-Installation gezippt in meine Dropbox. Ich nutze allerdings auch einen vServer, deshalb ist das für mich etwas einfacher meinen Blog zu sichern, wie für Leute, die einen Webspace nutzen.

  4. ben_ schrieb am 7. August 2014, um 07:48 Uhr:

    Hmm … die Kritik an „Hostern von der Stange“ kann ich zum einen so nicht unterschreiben. Bei meinem privaten Hoster (df.eu) werde täglich Backups gemacht und ich kann einen Restore sogar über ein Webinterface in Auftrag geben, sogar auf einzelne Datenbank-Tabellen genau. Außerdem weiß ich von anderen, die dort hosten, dass DF auch monitoren, ob Site gehackt sind oder nicht und ergreifen dann eigentständig und schnell Quarantänemaßnahmen.

    Zum anderen ist es doch ein Eckpfeiler des Erfolgs von WordPress auch auf einem 5 Euro-Webspace zu laufen. Es kann und will ja nicht jeder WordPressnutzer eine großen Pro-Hoster nutzen oder gleich einen Techie beschäftigen.

    Nebenbei: In den Pro-Installationen die wir (meine kleine Firma und ich) betreuen, kann nur der Uploads-Order vom WordPress beschrieben werden und gleichzeitig werden alle php-Dateien die dort landen nicht als PHP ausgeführt, sondern als txt ausgeliefert. Damit schneidet man sich zwar das Auto-Update sowie Installation und Updates von Plugins über der UI ab, aber das machen wir bei den größeren Plattformen eh nicht, weil Updates da vom Kunden vor dem Ausrollen geprüft werden und durch eine Git-Verwaltung laufen.

    Ach und: So wenig externe Plugins wie iiiiirgendmöglich hat ja auch noch eine ganze Reihe anderer Vorteile.

  5. m.e. schrieb am 7. August 2014, um 11:00 Uhr:

    Moins,
    ich kann nur ben_ bestätigen. DF ist ein klasse Provider mit erstklassigem Support, auch im Managed-Server-Bereich.

    Denke auch, so wenig Plugins wie nötig bei WP einsetzen und nicht genutzte komplett deinstallieren. Bringt Vorteile für die Sicherheit und auch die Performance.

    Das WP-Backuptool meiner Wahl (neben den sowieso Server-Backups): UpdraftPlus – Backup/Restore.

    Gruß m.e.

  6. Warnung an Mail Poet Nutzer schrieb am 7. August 2014, um 13:47 Uhr:

    […] MailPoet Plugin: 50.000+ WordPress Seiten gehackt Zitieren […]

  7. Eve Distelmeyer schrieb am 8. August 2014, um 00:42 Uhr:

    Bin vor ca 3 Jahren bei der CeBit auf Tellmatic von Volker Augustin aufmerksam geworden. Ist eine Stand-Alone Newsletter Anwendung und erfordert ein bisschen Webspace mit Datenbank und PHP, sowie einem SMTP Server mit Mailkonto.

    Vielleicht ist es eine Alternative zu MailPoet, da es nicht in die WordPressinstallation integriert werden muß. Ich nutze Tellmatic für mehrere Projekte von mir und bin weitestgehend zufrieden damit.

  8. Rainer Hombücher schrieb am 8. August 2014, um 09:47 Uhr:

    Unsere Seiten wurden auch angegriffen. Allerdings konnte 1und1 (ich bin nicht zwangsläufig Fan von 1u1, zurzeit geben sie sich aber Mühe) die Auswirkungen des Hack verhindern und wies auf die labilen Dateien hin, darunter Mailpoet. Vielleicht weiß jemand grundsätzliche Sicherheitsvorkehrungen, wie man seine WordPress-Installationen besser schützen kann.

  9. Kenny schrieb am 8. August 2014, um 12:13 Uhr:

    Dass bei euch auch andere Webseiten betroffen waren, lässt darauf schließen, dass ihr eure Webseiten nicht ordentlich von einander abschirmt. Das ist natürlich ziemlich fahrlässig.

    Wenn auf eurem Managed Server ein Apache und mod_php eingesetzt wird, solltet ihr darauf pochen, dass auf mod_suphp (http://www.suphp.org/Home.html) umgesattelt wird. Alternativ würde ich NGINX + PHP-FPM empfehlen, da bekommt das ganze – dank FastCGI schön getrennt.

  10. […] das ist keine fundamental neue Erkenntnis. Veraltete Plugins bzw. Sicherheis lücken in Plugins wie Mailpoet oder Revolution Slider haben in der Vergangenheit bereits zu einigen Problemen bei WordPress […]

  11. Anonymous schrieb am 11. April 2015, um 22:15 Uhr:

    […] Themes/Plugins bezogen. Deswegen kommen ja auch immer mal solche News (recht aktuell) zustande: MailPoet Plugin: 50.000+ WordPress Seiten gehackt Angriffe auf Web-Server via WordPress-Plugin MailPoet | heise Security Selbst in der nackten […]

  12. […] führt dazu, dass es leider immer wieder Berichte über Sicherheitslücken bei einzelnen Plugins gibt, die von Angreifern ausgenutzt werden, um den […]

Schreibe einen Kommentar

Pressengers lebt von der Wordpress Community, beteilige dich mit einem Kommentar!
Deine E-Mail Adresse wird nicht veröffentlicht.

Achtung: Mit dem Absenden eines Kommentars erklärst du dich damit einverstanden, dass alle eingegebenen Daten und deine IP-Adresse zum Zweck der Spamvermeidung durch das Programm Akismet in den USA überprüft und gespeichert werden. Weitere Informationen zu Akismet und Möglichkeiten des Widerrufs..