Kritische Sicherheitslücke im Bricks Theme <= 1.9.6

Am 10. Februar hat der Sicherheitsexperte Calvin Alkan von snicco eine Möglichkeit im Bricks Theme entdeckt, um fremden Code auf dem Server der betroffenen Webseite ausführen zu können. Er hat das Team von Bricks kontaktiert und eine Lösung präsentiert, die am 13. Februar als Sicherheitsupdate des Bricks Themes ausgeliefert wurde. Kurz seit Veröffentlichung des Updates wurden laut Benutzer*innen Kommentaren auf Facebook und Discord bereits etliche (vermutlich tausende) Webseiten gehacked.

Die Sicherheitslücke ist gravierend und wurde laut CVSS 3.1 Score mit der höchsten Gefahrenstufe gekennzeichnet. Solltet ihr noch nicht die Version 1.9.6.1 des Themes benutzen, updated eure Seite wirklich jetzt.

Wie prüfe ich, ob ich von einem Hack betroffen bin?

Da durch diese Lücke sämtliche Angriffe durchgeführt werden können, gibt es keine sichere Möglichkeit, um zu prüfen ob die eigene Seite bereits gehacked wurde. Seit dem Bekanntwerden der Lücke wurden jedoch zur gleichen Zeit sehr viele Seiten von einem Bot angegriffen, der immer auf die gleiche Art vorging. Demnach solltet ihr Folgendes prüfen:

  1. Merkwürdige Dateien im Root Verzeichnis. Es werden Dateien wie f58ghfwo.php oder wrgregi502p.php im Root Verzeichnis der WordPress Installation abgelegt.
  2. Neue Plugins oder Themes im wp-content Verzeichnis. Bei fast allen betroffenen Seiten, die ich analyisiert habe, gab es neue Plugins (auch hier wieder mit merkwürdigem Namen) und/oder Themes im wp-content/plugins bzw. wp-content/themes Ordner.
  3. Aktuelles Änderungsdatum von wichtigen Dateien. In allen mir bekannten Fällen wurden Dateien wie die wp-settings.php oder index.php im Root Verzeichnis der Webseite modifiziert. Dadurch haben diese ein neues Änderungsdatum bekommen.
  4. Neue Benutzer*innen im WordPress Dashboard. In manchen Fällen werden automatisiert neue Administrator Accounts erstellt, welche ihr einfach im WordPress Dashboard erkennen könnt.
  5. Server Error bei Update Versuchen. Wenn sich euer Theme bzw. eure veralteten Plugins nicht mehr durch das Dashboard aktualisieren lassen und ihr stattdessen einen 500 Server Error angezeigt bekommt, seit ihr womöglich auch von dem Angriff betroffen.
  6. WordFence Scan. Berichten von Benutzer*innen zufolge sollt ihr auch durch die Free-Version von WordFence erkennen können, ob ihr modifizierte Dateien auf eurem Server habt. Beachtet jedoch, dass der Einsatz von WordFence in eurer Datenschutzerklärung erwähnt werden muss.

Was mache ich, wenn meine Seite angegriffen wurde?

Im Falle eines Hacks, solltet ihr ein Backup wiederherstellen, welches vor dem 13. Februar angelegt wurde. Anschließend sollten noch die Passwörter der Datenbank und der Administrator*innen geändert werden. Bitte beachtet dass das Backup unmittelbar auf die neueste Bricks Version aktualisiert werden sollte, um nicht direkt wieder von einem Angriff betroffen zu sein.

Solltet ihr kein Backup besitzen, entfernt alle Dateien bis auf den wp-content Ordner und der wp-config.php und installiert eine frische WordPress Installation auf dem Server. Überprüft alle Dateien im wp-content Ordner und in der wp-config.php auf Veränderungen. Schaut auch unbedingt in der .htcaccess nach neuen Ergänzungen. In einigen Fällen wurde am Ende der Datei neuer Code hinzugefügt.

Wie schütze ich mich zukünftig vor solchen angriffen?

Grundsätzlich ist es nicht möglich, zu 100% vor einem Hack geschützt zu sein. Demnach sollte man die Sicherheit der Webseite in zwei Bereiche unterteilen:

  1. Die Chance eines Angriffs so gering wie möglich halten
  2. Regelmäßige Sicherungen der Webseite aufbewahren, um im Falle eines Angriffs keinen Datenverlust zu erleiden

Die Webseite sollte im Idealfall kontinuierlich durch eine Firewall geschützt sein und auf schädliche Dateien überprüft werden. Dienste wie VirusDie und Patchstack haben virtuelle Patches, die bei bekanntwerden von Sicherheitslücken in vielen Fällen die eigene Seite vor dem Gebrauch der Lücke schützen können. Natürlich sollte eine Webseite auch regelmäßig und im Falle von einer kritischen Sicherheitslücke umgehend aktualisiert werden. Bei unseren Kund*innen mit Wartungsvertrag haben wir das Theme direkt am 13. Februar aktualisiert.

Nehmt die Wartung und Sicherung eurer Webseite bitte ernst. Dadurch erspart ihr euch wirklich Zeit, einen kompletten Datenverlust und viel Frustration. Wenn ihr Unterstützung benötigt kümmern wir uns sehr gerne um die Pflege und Instandhaltung eurer Webseite. Mehr Informationen bekommt ihr auf unserer Unterseite “WordPress Wartungen“.

Manuel Schwarz

WordPress-Entwickler und Mitgründer von WP-Cologne

Avatar von Manuel Schwarz

Genug gelesen?

Du brauchst direkte Unterstützung bei deiner WordPress-Webseite?
Vereinbare unverbindlich und kostenlos ein Online-Meeting mit uns.

Online Termin vereinbaren

Borlabs Cookie Banner mit Automatic.CSS stylen

Keine Lust drauf, mehr als 20 Farbboxen im Borlabs Cookie Banner Plugin händisch auszuwählen, um das Look&Feel der Primärfarbe deiner Webseite anzupassen? Fühl ich. Nachdem mir der Support vom Borlabs Cookie Banner bestätigt hat, dass diese keine Unterstützung von CSS…...

Ein Screenshot vom Borlabs Cookie Banner

Google Workspace E-Mails werden nicht versendet? (SPF Authentifikation)

Wir hatten diesen Monat mehrere Anfragen von Kund*innen, bei denen manche E-Mails nicht versendet wurden und die eine Infomail mit dem Hinweis "Die Nachricht wurde blockiert" erhalten haben. Wenn ihr Google Workspace nutzt, solltet ihr unbedingt drauf achten, die SPF…...

Unser neues Logo-Anfrage Formular

Direkt zum Formular: Anfrageformular Egal, ob du eine neue Firma gründest oder dein bestehendes Geschäft auffrischen möchtest - das richtige Logo kann einen großen Unterschied machen und ist oftmals der erste visuelle Eindruck eines Projekts. Es ist das Gesicht deines…...

Eine Illustration von einem iPad auf dem ein Logo gezeichnet wird