Thought Leadership
Das WordPress-Plugin Quick Page/Post Redirect mit 70.000 Installationen enthielt über fünf Jahre eine geheime Backdoor für SEO-Spam. Experten warnen vor unkontrollierten Code-Injektionen.
Die Sicherheit des WordPress-Ökosystems ist durch die Entdeckung einer tief verwurzelten Hintertür in einem weit verbreiteten Utility-Plugin ins Wanken geraten. Das betroffene Plugin, Quick Page/Post Redirect, das auf mehr als 70.000 Websites aktiv ist, enthielt laut Sicherheitsforschern bereits seit fünf Jahren einen bösartigen Mechanismus zur Code-Injektion. Die Schwachstelle wurde von Austin Ginder, dem Gründer des WordPress-Hosting-Anbieters Anchor, aufgedeckt, nachdem Sicherheitswarnungen auf mehreren von ihm verwalteten Websites ausgelöst worden waren. Das berichtete Bleeping Computer.
Ein versteckter Mechanismus zur Selbstaktualisierung
Die Untersuchung ergab, dass die offiziellen Plugin-Versionen 5.2.1 und 5.2.2, die zwischen 2020 und 2021 veröffentlicht wurden, einen versteckten Selbst-Update-Mechanismus enthielten. Dieser war so konfiguriert, dass er Anweisungen von einer Drittanbieter-Domain namens anadnet.com abfragte. Durch diesen Umweg konnten die Hintermänner beliebigen Programmcode an die infizierten Websites senden, ohne die Sicherheitskontrollen des offiziellen WordPress.org-Verzeichnisses passieren zu müssen.
Obwohl der bösartige Updater in späteren offiziellen Versionen entfernt wurde, bevor die Code-Prüfer von WordPress.org ihn genauer untersuchen konnten, blieb die Gefahr bestehen. Im März 2021 erhielten Websites, auf denen noch die betroffenen Versionen liefen, im Hintergrund ein manipuliertes Build der Version 5.2.3 von dem externen Server. Dieses Build unterschied sich in seiner Prüfsumme (Hash) von der offiziellen Version und integrierte die passive Hintertür dauerhaft in das System.
Getarntes SEO-Spamming vor den Augen der Admins
Besonders raffiniert war die Tarnung der Malware: Die Hintertür wurde nur für Besucher aktiviert, die nicht auf der Website eingeloggt waren. Dadurch blieb die Aktivität vor den Administratoren der Seite verborgen, während im Hintergrund Daten vom anadnet-Server abgerufen und in den Inhalt der Website (via the_content) eingeschleust wurden.
„Der tatsächliche Mechanismus war getarntes Parasiten-SEO. Das Plugin vermietete das Google-Ranking von siebzigtausend Websites an denjenigen, der diesen Rückkanal im Jahr 2021 betrieb.“
Austin Ginder, Gründer des WordPress-Hosting-Anbieters Anchor
Dieser „Parasitismus“ ermöglichte es den Angreifern, die SEO-Autorität etablierter Websites für ihre eigenen Zwecke, etwa zur Verbreitung von Spam oder zur Manipulation von Suchergebnissen, zu missbrauchen.
Empfehlungen für WordPress-Nutzer
Auch wenn der externe Befehlsserver derzeit nicht mehr aktiv auf Anfragen reagiert, bleibt der Mechanismus zur Code-Ausführung auf den betroffenen Websites vorhanden. Da die Domain weiterhin registriert ist, besteht die theoretische Gefahr, dass sie jederzeit reaktiviert wird, um neuen Schadcode zu verteilen. Das Plugin wurde von WordPress.org vorübergehend aus dem offiziellen Verzeichnis entfernt, während eine umfassende Überprüfung stattfindet.
Betroffenen Nutzern wird dringend empfohlen, das Plugin Quick Page/Post Redirect sofort zu deinstallieren. Sobald eine bereinigte Version (geplant ist 5.2.4) im offiziellen WordPress-Verzeichnis verfügbar ist, sollte diese als Ersatz neu installiert werden. Ginder appellierte zudem an die Hintermänner der Operation, ein statisches Update-Manifest zu veröffentlichen, welches alle betroffenen Installationen automatisch auf die saubere Version zwingt und so die Hintertür endgültig entfernt.
