Von Arthur Končar am Mittwoch, Dezember 20 th, 2017 · no Comments · Unter , ,
Abb. eines jungen Mannes mit tief ins Gesicht gezogenem Kaputzenpullover in einem verlassenen Wohnbau, in der linken Hand ein bengalisches Feuer.

Foto: pixabay

Hinter der WordPress-Erweiterung „Captcha“ (s. WordPress Plugin-Verzeichnis) wurde ein Hintertürchen gefunden, wie der Sicherheitsdienstleiter Wordfence berichtet: Backdoor in Captcha Plugin Affects 300K WordPress Sites.

Abb. von vier verschiedenen Beispielen für Captchas, untereinander angeordnet.

Beispiele für Captchas. Quelle: Wikimedia Commons

Was ist ein Captcha?

Captchas (Completely Automated Public Turing test to tell Computers and Humans Apart) sind visuelle Überprüfungen des „Menschseins“, um Felder vor maschinellen Eingaben zu schützen. Es werden kleine Aufgaben (meist in Form von Bildern oder Texten) zur Lösung zur Verfügung gestellt, um sicher gehen zu können, dass hinter der Eingabe ein Mensch und keine Maschine steht.

„Captcha“: Die Bedrohung

Dieses Schlupfloch wurde dem Bericht zufolge angelegt, um – vom Betreiber der Website unbemerkt – eine Verlinkung zum Hersteller des Plugins durchzuführen. Was dieser davon hat? Links, die von anderen Websites zu der seinen führen, helfen dieser, in den Resultatseiten der Suchmaschinen (SERPs) besser gelistet zu werden. Immerhin, dieses Plugin wurde bereits rund 300.000 mal  installiert.

Das Plugin öffnet eine Hintertür; durch diese kann der Angreifer eine Administrator-Session starten und sein Werk tun. Danach wird die Session gelöscht und es sieht so aus, als wäre nie etwas gewesen. Von diesem Trojaner betroffen sind die Versionen v4.3.7 – v4.4.4. Die Version v4.4.5 ist Heise Security: Captcha-Plugin für WordPress installiert Backdoor zufolge nicht mehr betroffen.

Wer steckt hinter „Captcha“?

Wordfence verfolgt den Weg zu Mason Soiza, einem in der WordPress-Szene nicht ganz unbekannten Namen: The Man Behind Plugin Spam: Mason Soiza. Dem Autor zufolge wurde dem Mann hinter dem Entwickler-Pseudonym „Simplywordpress“ bereits mehrfach der Missbrauch von WordPress vorgeworfen. WP schaut dem Autor zukünftig genau auf die Finger.

Weitere Plugins dieses Herstellers, hinter denen Backdoors vermutet werden:

  • Covert me Popup
  • Death To Comments
  • Human Captcha
  • Smart Recaptcha
  • Social Exchange

Sie waren ursprünglich nur über die Website des Autors zu beziehen; diese ist mittlerweile aber offline.

Sind unsere Kunden betroffen?

Nein! Wenn wir Sie zu unseren Kunden zählen dürfen können wir Sie beruhigen. Dieses Plugin gehört nicht zu unseren Standard-Tools und kommt auf keiner unserer Websites zum Einsatz.

Unser Tipp

Es gibt ausreichend Alternativen zu diesem Plugin. Warum also das Risiko eingehen? Wenn Sie“Captcha“ im einsatz haben, tauschen Sie es gegen ein anderes Plugin aus, sicher ist sicher. Sollten Sie Ihre Website um eine Sicherheitseinrichtung erweitern wollen, um Spammer fernzuhalten, werfen Sie doch einen Blick auf Google Captcha.

Share

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Title
Caption
File name
Size
Alignment
Link to
  Open new windows
  Rel nofollow