DSGVO-Plugin für WordPress kann schadhaftes Script ausführen

Es ist der einfachste weg, die relativ komplexen Forderungen der Datenschutzgrundverordnung (kurz: DSGVO) zu erfüllen, indem man ein entsprechendes Plugin installiert. Für WordPress gibt es gleich mehrere solcher DSGVO-Plugins, die dafür genutzt werden können. Eines davon ist das „WP DSGVO Tools (GDPR) / Shapepress-DSGVO„. Das Plugin mit einer sonst stabilen Bewertung, meldet jetzt allerdings massive Probleme.

Schadhaftes Script kann geladen werden

Seit dem 20. September 2021 ist das Plugin nicht mehr über den offiziellen Repository von WordPress installierbar. Es kann also weder über das Backend der eigenen Webseite noch über die offizielle Webseite von WordPress geladen werden. Nur noch die Support-Seite des Plugins bleibt erreichbar.

Grund dafür ist, dass das DSGVO-Plugin scheinbar bisher Angriffe von Außen ermöglicht hat. Dazu hat sich der Autor wie folgt geäußert:

In den Versionen <= 3.1.22 ist Angreifen gelungen, die Scripten der Integrationen zu manipulieren.
In den Eingabefeldern unserer Plugins kann beliebiger Code (html, js,..) eingegeben werden. Auch Code, welcher auf eine andere Seite umleitetet.
Der Angreifer hat es geschafft, z.B. im Matomo Feld Code einzuschleusen, welcher auf andere Seiten weiterleitet.
Da Matomo ohne Einwilligung ausgeführt werden darf, wird der Code in diesem Feld bei Besuch automatisch ausgeführt. Somit wurde der Besucher gleich auf eine andere Seite weitergeleitet.
Dies hat aber nicht mit Matomo zu tun, sondern hätte bei jeder anderer Integration auch sein können.

https://wordpress.org/support/topic/weiterleitung-redirects/

Konkret geht es also darum, dass es Angreifern ermöglicht wurde, von der eigenen Seite auf eine Fremdseite weiterzuleiten, sobald die jeweilige Berechtigung vom Nutzer gegeben wurde.

Fehler schnell beheben

Der Autor des Plugins hat schnell reagiert und die Lücke bereits geschlossen. Wer das Plugin noch installiert hat, kann das Update allerdings nicht über das offizielle Repository bzw. das Backend von WordPress installieren. Das ist eine Sicherheitsmaßnahme von WordPress, problematische Plugins zeitweise zu entfernen, damit nicht noch mehr Webseiten gefährdet werden. Wann genau WordPress das Plugin wieder frei gibt, ist derzeit nicht bekannt.

Wer das Update installieren möchte, kann es direkt über den Link des Autors herunterladen. Dieser ist hier zu finden: https://wordpress.org/support/topic/weiterleitung-redirects/. Das Plugin muss dann manuell auf den Server geladen und installiert werden.

Auch nach einer Aktualisierung sollte geprüft werden, ob alle Integrationen im Plugin korrekt sind. Also die Codes, die für Google Analytics, Matomo, etc. eingefügt werden, sollten abgeglichen werden.

Alternativ kann das Plugin natürlich auch deinstalliert und entfernt werden und durch ein anderes ersetzt werden.

Hilfe anfordern

Falls du Hilfe dabei benötigst oder unsicher bist, kannst du dich entweder direkt an den Autor im Support-Forum wenden oder du meldest dich bei uns. Entweder telefonisch (0176 5577 1122) oder auch per Mail (hey@pixwell.online).

Artikel von Kendel in
27. September 2021