Vorgestern hat Google mehr als 11.000 Webseiten auf die schwarze Liste gesetzt, die die neueste Malware von soaksoak.ru verteilten. Eine Untersuchung von Sukuri.net ergab Hunderttausende von kompromittierten Internetseiten auf Basis des freien Blog- und CMS-Systems WordPress.
Es liegt aber nicht an WordPress selbst – die Schadsoftware kommt wie häufig auch hier über ein Plugin. Die SoakSoak-Malware verändert den Template-Lader wp-includes/template-loader.php und sorgt dafür, dass jeder Seitenaufruf auch die Datei wp-includes/js/swfobject.js aufruft. Dieses Script ruft dann jedesmal die Javascript-Schadroutine vom Server soaksoak.ru ab.
Wer wissen möchte, ob seine WordPress-Seiten noch in Ordnung sind, sollte den freien SiteCheck-Scanner von Sukuri.net benutzen.
Die benutzte Sicherheitslücke steckt in älteren Versionen des Plugins Slider Revolution.
Leider ist Slider Revolution nicht nur ein weit verbreitetes Plugin, das für Responsives Webdesign genutzt wird, sondern kommt häufig als Teil von WordPress-Themes auf den Server, ohne dass es dem Betreiber besonders auffällt – besonders bei Webspace-Providern.
Obendrein ist die WordPress-Erweiterung auch noch kostenpflichtig und es wird nicht immer automatisch upgedatet – diese drei Faktoren lassen verstehen, warum so viele WordPress-Seiten infiziert wurden.
