Blog
Website
WordPress
GravityForms WordPress Plugin: Supply Chain Angriff gefährdet Millionen von Websites

GravityForms WordPress Plugin: Supply Chain Angriff gefährdet Millionen von Websites

von Timo Heinrich
WordPress
·
15. Juli

Ein aktueller Sicherheitsvorfall zeigt, wie selbst vertrauenswürdige Quellen zur Gefahr werden können – und was du jetzt tun musst.

Inhaltsverzeichnis

Letzte Woche hat ein Sicherheitsvorfall die WordPress-Community aufgeschreckt: Das beliebte GravityForms Plugin wurde Opfer eines sogenannten Supply Chain Angriffs. Was das bedeutet und wie du dich schützen kannst, erfährst du hier.

Was ist passiert?

Am vergangenen Freitag entdeckten IT-Forscher von Patchstack eine infizierte Version des GravityForms Plugins auf der offiziellen Website gravityforms.com. Das millionenfach installierte Plugin enthielt eine Hintertür, die Angreifern vollständiges Kompromittieren der WordPress-Instanz ermöglichte.

GravityForms ist ein Premium-Plugin für die Erstellung von Kontakt-, Zahlungs- und anderen Online-Formularen. Das Plugin ist auf rund einer Million Websites installiert, darunter auch bekannte Organisationen wie Airbnb, Nike, ESPN, Unicef, Google und Yale.

Wie funktionierte der Angriff?

Der Angriff war besonders raffiniert: Die manipulierte Version des Plugins stellte HTTP-Anfragen an die verdächtige Domain gravityapi.com, die erst am Dienstag vergangener Woche erstellt wurde. Diese Anfragen waren so langsam, dass sie die Monitoring-Systeme der Sicherheitsforscher alarmierten.

Das Plugin sammelte umfangreiche Metadaten der Website, einschließlich URL, Admin-Pfad, Theme, Plugins und PHP/WordPress-Versionen, und übertrug diese an die Angreifer. Als Antwort erhielt das Plugin base64-kodierte PHP-Malware, die als "wp-includes/bookmark-canonical.php" gespeichert wurde.

Welche Schäden entstanden?

Die Hintertür ermöglichte es den Angreifern:

  • Neue Konten mit Administratorrolle anzulegen
  • Beliebige Dateien auf den Server hochzuladen
  • Nutzerkonten zu löschen
  • Beliebigen Code auszuführen

Die Analysten stellten fest, dass die Infektion nicht weit verbreitet war; das mit Backdoor versehene Plugin war offenbar nur kurze Zeit verfügbar und wurde nur von wenigen Opfern heruntergeladen.

Schnelle Reaktion der Entwickler

Die Entwickler von RocketGenius haben schnell reagiert: Die infizierte Version 2.9.12 wurde durch eine saubere Variante ersetzt, zunächst ohne die Versionsnummer zu ändern. Später wurde Version 2.9.13 hochgeladen und die Domain gravityapi.org vom Registrar Namecheap stillgelegt.

Was ist ein Supply Chain Angriff?

Ein Supply Chain Angriff ist besonders heimtückisch, weil er vertrauenswürdige Quellen kompromittiert. Bei einem Supply Chain Angriff wird nicht eine Schwachstelle im Code ausgenutzt, sondern die Software selbst oder eine Komponente davon wird direkt mit bösartigem Code verändert. Dies schafft die Situation, dass die Software selbst die schädlichen Dateien ausliefert.

Für WordPress-Nutzer ist das besonders gefährlich, weil sie normalerweise Plugins direkt von der offiziellen Website oder dem Plugin-Verzeichnis herunterladen und dabei ein hohes Vertrauen in diese Quellen haben.

So schützt du dich vor solchen Angriffen

1. Regelmäßige Updates sind essentiell

Eine weitere wichtige Maßnahme, um die Sicherheit von WordPress zu erhöhen, ist, dass du es immer auf dem neuesten Stand hältst. Das gilt für den WordPress-Kern, Plugins und Themes. Updates enthalten oft kritische Sicherheits-Patches.

2. Sicherheits-Plugins installieren

Wordfence Security ist eines der beliebtesten WordPress-Sicherheitsplugins. Es verbindet Einfachheit mit leistungsstarken Schutztools, wie z.B. den robusten Login-Sicherheitsfunktionen und den Tools zur Wiederherstellung von Sicherheitsvorfällen.

3. Benutzerkonten regelmäßig überprüfen

Site-Besitzer sollten ihre Datenbank überprüfen, um sicherzustellen, dass keine unbefugten Admin-Konten hinzugefügt wurden. Der Angriff erstellt Administrator-Konten mit den Benutzernamen "Options" oder "PluginAuth".

4. Backup-Strategie implementieren

Tägliche Backups und Rollback-Optionen ermöglichen es, die Website sofort wiederherzustellen, wenn etwas schief läuft.

5. Sicheren Hosting-Anbieter wählen

Eine sichere WordPress-Website beginnt mit einem sicheren Hosting-Anbieter. Egal, wie viele Sicherheits-Plugins du installierst, deine Website ist gefährdet, wenn deine Hosting-Umgebung anfällig ist.

Sofortmaßnahmen für GravityForms-Nutzer

Falls du GravityForms verwendest, solltest du:

  1. Sofort auf Version 2.9.13 oder höher updaten
  2. Deine WordPress-Admin-Konten überprüfen und alle unbekannten Benutzer löschen
  3. Einen vollständigen Malware-Scan durchführen
  4. Deine Server-Logs auf verdächtige Aktivitäten prüfen
  5. Alle Passwörter und Zugangsdaten ändern

Fazit: Wachsamkeit ist der Schlüssel

Diese Attacke zeigt, dass selbst weit verbreitete und aktiv gepflegte Software durch ausgeklügelte Supply Chain-Infiltration zu einem Angriffsvektor werden kann. Der Vorfall unterstreicht, wie wichtig kontinuierliche Wachsamkeit, rigorose Patch-Verwaltung und eine mehrschichtige Sicherheitsstrategie sind.

Die gute Nachricht: Die schnelle Erkennung und Behebung des Problems zeigt, dass die WordPress-Community gut vernetzt ist und Sicherheitsbedrohungen ernst nimmt. Dennoch sollte dieser Vorfall als Weckruf dienen, die eigene Website-Sicherheit zu überdenken.

Bewertung des Beitrages: Ø5,0

Danke für deine Bewertung

Der Beitrag hat dir gefallen? Teile ihn doch mit deinen Freunden & Arbeitskollegen

Facebook Twitter LinkedIn WhatsApp
Passend zum Thema
Lesezeit: 4 Min.
Timo Heinrich
Achtung WordPress-Nutzer: Kritische Sicherheitslücke im AI Engine Plugin gefährdet 100.000 Websites
Wordpress
20. Juni
Lesezeit: 2 Min.
Timo Heinrich
WordPress-Plugin Forminator: 600.000 Websites in Gefahr
WordPress
03. Juli
Lesezeit: 2 Min.
Katja Preuss
Was ist ein WordPress Plugin und wie wird das installiert?
WordPress
26. Sept. 17

Top Beitrag der Woche

Lesezeit: 29 Min.
Timo Heinrich 132+ SEO-Tools für Deine Webseite
SEO (Suchmaschinenoptimierung)
24. Juni

Beliebteste Beiträge