Wer kostenlos kauft, kauft teuer – Das gilt auch für die gratis Premium-Themes von WordPress, die von Kriminellen mit schädlichen Codes versehen werden und nun zehntausende Seiten lahmlegen.
Unter den Content Management Systemen (CMS), die für die Erstellung einer Website im Internet unersetzlich sind, gehört der Anbieter WordPress zu den internationalen Marktführern. Sowohl Unternehmen als auch Privatpersonen vertrauen auf den US-amerikanischen Anbieter, der es erlaubt, die eigene Webpräsenz nicht nur mittels der WordPress.org-Software zu erstellen, sondern auch mit tausenden Erweiterungen – sogenannten Plugins – zu individualisieren.
Gerade diese Anpassungsfähigkeit und die kaum überblickbare Vielfalt an Plugins und Themes lockt nicht nur Hobbyentwickler und professionelle IT-Experten an, sondern auch Cyberkriminelle. Sicherheitsspezialisten veröffentlichen nun die Ergebnisse zu einer bereits im Jahre 2017 lancierten Kampagne, bei der Internet-Gangster gefährliche Programme mittels WordPress-Technologie auf zehntausende Server weltweit einschleusten.
Teure Premium-Themes als Lockmittel für Schnäppchenjäger
Die Codes für die schädliche Software bauten die kriminellen IT-Experten in sogenannten Premium-Themes ein, die sich bei den Nutzern von WordPress besonders großer Beliebtheit erfreuen.
Bei den Themes handelt es sich grundsätzlich zum bereits vorprogrammierte Codes, die Vorlagen für Webseiten, deren Strukturen und Funktionen darstellen. Während hunderte solcher Vorlagen den Nutzern kostenlos zur Verfügung stehen, sind die Premium-Versionen derselben kostenpflichtig. Die verlangten Nutzungsgebühren betragen zwischen 50 und 200 US-Dollar. Die Premium-Themes zeichnen sich gegenüber den kostenlosen Vorlagen durch kunstvollere Programmierstrukturen aus – aber auch ein ausgefallenes Design, zahlreiche zusätzliche Funktionen und individualisierbare Features sorgen dafür, dass viele Betreiber von Webseiten gerne bereit sind, ein wenig Kleingeld in die Erstellung einer außergewöhnlichen Seite zu investieren.
Doch nicht alles ist Gold, was glänzt. Denn die Premium-Themes besitzen genauso wie die kostenlos zum Download bereitstehenden Webseiten-Vorlagen lange Codes, die kaum ein Laie tatsächlich erfolgreich entziffern kann. Man verlässt sich auf die Programmierkenntnisse der Nutzer, die diese fertig gestalteten und direkt zur Nutzung bereiten Vorlagen verkaufen und regelmäßig Updates, die unter anderem auch Sicherheitsaspekte betreffen, veröffentlichen. Der riesige und kaum zu überblickende Funktionsumfang der Codeskripten eignet sich damit perfekt, um gefährliche Spionage-Software oder auch andere Malware direkt auf den Servern der Nutzer zu installieren.
Kostenlose WordPress-Themes mit unerwünschten Features
Wenn man im World Wide Web nach Plattformen für den Erwerb von Premium-Themes zu suchen beginnt, steht man vor einer riesigen Auswahl. Diese wird nur selten überwacht, so dass die Käufer einerseits oftmals eine echte „Katze im Sack“ kaufen und gleichzeitig Kriminelle diese Überwachungslücke für ihre eigenen Zwecke missbrauchen.
Die IT-Experten aus dem Hause Prevailion, das zu den führenden Sicherheitsunternehmen gehört, stellten im Zuge ihrer Untersuchung fest, dass rund 30 Plattformen im Internet speziell zum Vertrieb von Premium-Themes mit schadhafter Software ins Leben gerufen worden waren. Als Lockvogel für die ahnungslosen Nutzer diente das durchaus verlockende Angebot, Premium-Inhalte kostenlos zu erwerben. Woher die exklusiven Vorlagen für die WordPress-Webseiten tatsächlich stammen, wussten nur die wenigsten Schnäppchenjäger – denn die meisten von ihnen waren von anderen Plattformen gestohlen worden.
Im Ergebnis konnten die Sicherheitsspezialisten mit der eigens konzipierten Suchmaschine für die schnelle und effiziente Auffindung von kompromittierenden Inhalten im Netz mindestens 20.000 Webserver ausmachen auf denen die schadstoffverseuchten WordPress-Themes installiert worden sind. Von diesen stellten etwa ein Fünftel KMUs dar, für die potentiell schädliche oder gar gefährliche Software auf den eigenen Webseiten auch wirtschaftliche und juristische Nachteile mit sich bringen kann.
Die Gefahr hinter kostenlosen Lockangeboten von WordPress
Die Einzelheiten zu der Untersuchung von Seiten des IT-Spezialisten Prevailion finden sich in einem ausführlichen Blogeintrag. Dort geht man genau darauf ein, wie bei der Installation der präparierten Vorlagen gleichzeitig eine Backdoor auf den Servern eingerichtet wurde. Diese diente den Cyberkriminellen dazu, eigene Admin-Accounts einzurichten, um durch diese Zugang zu allen Funktionen der neu erstellen Website zu erlangen. Auch E-Mail-Accounts und sämtliche Passwort-Hashes der eigentlichen Admins konnten durch diese „Hintertüren“ ohne großen Aufwand ausspioniert werden.
Zusätzlich zu den sogenannten Backdoors fanden sich auch Codes von Command-and-Control-Servern in den Malware-verseuchten Premium-Vorlagen von WordPress. Mittels dieser war es den tückischen Cyber-Kriminellen möglich, die mit Hilfe der präparierten Layout-Vorlagen erstellten Webseiten in das dubiose Werbenetzwerk „Propeller Ads“ einzuschleusen. Diese unwissentliche Einbindung sorgte dafür, dass die Besucher der neuen Webseiten Werbeanzeigen präsentiert bekamen, die beim Anklicken die Kassen der Kriminellen klingeln ließen. Jedoch beschränkte sich die Malware in diesem Fall nicht nur auf die Berieselung und Belästigung mit unerwünschten Werbeinhalten, sondern forderte die ahnungslosen Besucher dazu auf, bestimmte Komponenten ihrer Software zu aktualisieren, da diese angeblich bereits veraltet sein und – welche Ironie – eine Sicherheitslücke darstellen könnte.
Die genaue Funktion und Ausgestaltung der Schadprogramme, die nach dem Anklicken der Aktualisierungsaufforderungen auf den Rechnern der Besucher installiert wurde, wird von den Experten von Prevailion nicht angegeben. Jedoch kann man an dieser Stelle eine andere Forschungseinrichtung heranziehen, die vor nicht allzu langer Zeit feststellte, dass Plattformen wie „Propeller Ads“ dazu genutzt werden, um die zufälligen Besucher auf andere Domains umzuleiten. Auf diesen wurden diese vom Exploit Kit namens „Fallout“ erwartet. Dieses ist vor allem dafür bekannt, die Ransomware GandCrab, die mittlerweile nicht mehr aktiv ist, mit Hilfe von bestimmten Lücken in den Sicherheitscodes von Windows und Flash zu installieren.
Tipps für eine sichere Nutzung von WordPress-Themes
Wenn man gerade dabei ist, sich durch die Vielfalt an attraktiven Premium-Themes von WordPress zu wühlen, lohnt es sich, genau hinzusehen, wo man sich dieses im Endeffekt besorgt. Die offizielle WordPress-Seite oder eine der bekannten, ständig auf Sicherheitslücken in den Codes überwachte Plattform, wie etwa themeforest.net, sind die derzeit besten Anlaufstellen für ein passendes Theme.
Gleichzeitig lohnt es sich trotz aller Sicherheitsvorkehrungen, einen genaueren Blick auf die potentiellen Nachteile der WordPress-Themes zu werfen: Denn die Probleme bei der individuellen Anpassung, der Fortentwicklung und der weitergehenden Nutzung der Website sind auch für Hobby-Webseitenbetreiber nicht zu unterschätzen.
