Wer kostenlos kauft, kauft teuer – Das gilt auch für die gratis Premium-Themes von WordPress, die von Kriminellen mit schädlichen Codes versehen werden und nun zehntausende Seiten lahmlegen.
WordPress gehört unter den Content-Management-Systemen zu den meistgenutzten Plattformen weltweit. Unternehmen und Privatpersonen bauen ihre Webpräsenz damit auf – und individualisieren sie mit Tausenden Plugins und Themes. Genau diese Vielfalt macht WordPress attraktiv. Und genau dort setzen Cyberkriminelle an.
Sicherheitsspezialistinnen und -spezialisten haben die Ergebnisse einer Kampagne veröffentlicht, die bereits 2017 gestartet wurde: Über präparierte WordPress-Themes schleusten Angreifer Malware auf zehntausende Server weltweit.
Teure Premium-Themes als Lockmittel für Schnäppchenjäger
Der Schadcode steckte in sogenannten Premium-Themes – Vorlagen, die bei WordPress-Nutzern besonders beliebt sind.
Themes sind vorgefertigte Code-Pakete: Sie definieren Struktur, Design und Funktionen einer Website. Kostenlose Varianten gibt es hundertfach, Premium-Themes kosten zwischen 50 und 200 US-Dollar – und bieten dafür ausgefeiltere Programmierstrukturen, individualisierbare Features und ein anspruchsvolleres Design. Viele Websitebetreiber greifen gerne zu.
Das Problem: Die Codebasen dieser Themes sind lang und komplex. Kaum jemand liest sie durch. Man verlässt sich darauf, dass der Anbieter sauber arbeitet und regelmässig Sicherheitsupdates liefert. Genau diese Lücke nutzten die Angreifer – und versteckten Spionage-Software und andere Malware direkt im Theme-Code.
Kostenlose WordPress-Themes mit unerwünschten Features
Wer nach Premium-Themes sucht, landet schnell bei einer Flut von Plattformen. Die meisten davon werden kaum kontrolliert. Das Resultat: Käufer wissen oft nicht, was sie sich herunterladen. Und Kriminelle wissen das.
Die Sicherheitsfirma Prevailion identifizierte rund 30 Plattformen, die gezielt zum Vertrieb von mit Schadcode versehenen Premium-Themes aufgebaut worden waren. Das Lockmittel war simpel: Premium-Inhalte gratis. Woher die Themes stammten, wussten die wenigsten – die meisten waren von anderen Plattformen gestohlen worden.
Mit einer eigens entwickelten Suchmaschine für kompromittierte Inhalte fanden die Sicherheitsspezialisten mindestens 20’000 Webserver, auf denen diese präparierten Themes installiert waren. Rund ein Fünftel davon gehörte KMUs – für die Malware auf der eigenen Website nicht nur ein technisches, sondern auch ein wirtschaftliches und rechtliches Problem darstellt.
Die Gefahr hinter kostenlosen Lockangeboten von WordPress
Die Details zur Untersuchung hat Prevailion in einem ausführlichen Blogbeitrag dokumentiert. Kernbefund: Mit der Installation eines präparierten Themes wurde gleichzeitig eine Backdoor auf dem Server eingerichtet. Darüber richteten die Angreifer eigene Admin-Accounts ein, verschafften sich Zugang zu allen Website-Funktionen und konnten E-Mail-Accounts sowie Passwort-Hashes der echten Admins auslesen.
Zusätzlich fanden sich in den Themes Codes von Command-and-Control-Servern. Damit banden die Angreifer die betroffenen Websites in das Werbenetzwerk «Propeller Ads» ein – ohne Wissen der Betreiber. Besuchende sahen Werbeanzeigen, deren Klicks die Kasse der Kriminellen füllten. Soweit die harmlose Variante.
Die Malware forderte Besuchende ausserdem auf, Software-Updates einzuspielen – angeblich wegen einer Sicherheitslücke. Was nach dem Klick auf diese Aufforderung folgte, dokumentiert Prevailion nicht im Detail. Andere Forschende haben jedoch festgestellt, dass Plattformen wie «Propeller Ads» dazu genutzt werden, Nutzende auf Domains weiterzuleiten, auf denen das Exploit-Kit «Fallout» wartet. Dieses ist bekannt dafür, über Sicherheitslücken in Windows und Flash Ransomware wie GandCrab zu installieren – auch wenn GandCrab selbst mittlerweile nicht mehr aktiv ist.
Tipps für eine sichere Nutzung von WordPress-Themes
Wenn du ein Premium-Theme suchst: Achte auf die Quelle. Die offizielle WordPress-Seite und etablierte, regelmässig geprüfte Marktplätze wie themeforest.net sind derzeit die zuverlässigsten Anlaufstellen.
Und selbst mit einem sauber bezogenen Theme lohnt sich ein genauerer Blick: Anpassungsprobleme, Weiterentwicklung und langfristige Kompatibilität sind auch für Hobby-Websitebetreibende nicht trivial. Ein Theme ist keine Einmalentscheidung.