In den letzten Wochen und Monaten gehörten Software-Ergänzungen, die auf Cookies auf der Website hinweisen, dank der Änderungen der DSGVO (Datenschutzgrundverordnung) wahrscheinlich zu den am häufigsten installieren Tools im Web. Ein äußerst beliebtes Plugin für WordPress ist zum Beispiel „GDPR Cookie Consent“. Es ist in einer kostenlosen Version zu haben und relativ leicht einzurichten, was wohl beides nicht ganz unschuldig an seinem Erfolg ist.
Wie jetzt bekannt wurde, weist eine ältere Version des Plugins eine erhebliche Sicherheitslücke auf, die es Angreifern ermöglicht die Software für einen persistente XSS-Attacke zu nutzen. Die Abkürzung XSS steht für Cross Site Scripting. XSS ist eine der häufigsten Angriffsmethoden im Internet. Damit gelingt es Angreifern durch eine Sicherheitslücke in der Software einen Schadcode zu installieren, der alles mögliche anstellen kann. Den meisten Hackern geht es darum, an sensible Daten des Benutzers zu gelangen oder eine gekaperte Website für unlautere Handlungen zu missbrauchen. So könnten beispielsweise die Benutzerkonten übernommen und der Websitebetreiber und auch der Administrator ausgesperrt werden. Der „neue Administrator“ kann dann praktisch mit der Website machen was er will, Inhalte löschen oder verändern (Website-Defacement), Massenmails über die Seite verschicken, negative Inhalte erstellen (beispielsweise Links auf Porno-Seiten) und jede Menge mehr.
Das ist insbesondere dann fatal, wenn die Seite gut bei Google gerankt ist und gelistete Seiten plötzlich nicht mehr erreichbar sind oder veränderte Inhalte haben oder Google die gesamte Seite wegen negativer Inhalte abstraft. Bei großen Seiten und hinreichend subtilen Vorgehen des Hackers kann es vorkommen, dass es eine ganze Zeit lang dauert, bis der Website-Betreiber das Problem überhaupt bemerkt.
Sollten Sie „GDPR Cookie Consent“ auf Ihrer WordPress-Website im Einsatz haben, überprüfen Sie bitte unbedingt ob die Version auf dem neuesten Stand ist. Ab der Version 1.8.3 ist die Sicherheitslücke bereits geschlossen. Laut dem Vertreiber der Software ist das Plugin derzeit rund 700.000 mal im Einsatz. Wenn Sie nicht wissen welche Software auf Ihrer WordPress-Installation für die DSGVO-konforme genutzt wird, fragen Sie unbedingt Ihren Website-Administrator.
Dieses Beispiel führt aber auch einmal mehr vor Augen, wie wichtig das regelmäßige Updaten der Website-Software ist. In meiner Praxis erleben wir immer wieder, dass Websitebetreiber dieses Problem auf die leichte Schulter nehmen und sich die geringen Kosten für einen vernünftigen Backup- und Updateservice sparen wollen. Ist die Website einmal von Hackern übernommen, zerstört oder durch eine Attacke im Google-Ranking abgerutscht, entstehen Kosten, die um ein Vielfaches höher sind als ein Update-Service.
Beitragsbild von methodshop auf Pixabay