Wordfence berichtet über eine Angriffskampagne, die auf Jetpack-Benutzer abzielt und Passwörter wiederverwendet. Jetpack-Nutzer sollten sich jetzt kümmern.

Wie Wordfence berichtet, ist das laut Anbieter mit weltweit über 5 Millionen aktiven Installationen doch sehr beliebte Plugin Jetpack derzeit Angriffsziel einer Malwarekampagne. Jetpack verfügt über vielseitige Funktionen, unter anderem Analysemöglichkeiten, Funktionen zum Spamschutz, Unterstützung zur administrativen Bearbeitung von WordPress-Sites, Anbindung an Zahlungsdienstleister und weitere Funktionen hinsichtlich der Nutzung von Shop-Funktionalitäten und Marketingtools.

Da Jetpack einige Funktionen aufweist, die in Bezug auf datenschutzrechtliche Fragen nicht zweifelsfrei konform sind, ist der Anteil an Installationen in Deutschland seit 2018 sicherlich um Einiges zurückgegangen. Nichts destotrotz wird es vermutlich noch immer eine Anzahl an Websites geben, die das Plugin installiert haben.

Die Wordfence Threat Intelligence- und Site Cleaning-Teams haben eine Malware-Kampagne verfolgt, die alle Website-Besucher auf Malvertising-Domains umleitet und dabei versucht, die Website-Administratoren über die Infektion entsprechend nicht zu informieren . Seit dem 1. Juni 2021 hat sich die Zahl der von Wordfence verfolgten Websites, die mit dieser Malware infiziert wurden, mehr als verdoppelt, und Wordfence vermutet, dass diese Kampagne weiter an Fahrt gewinnen wird.

WordPress.com-Benutzer zur Nutzung von Jetpack-Funktionen

Zur Nutzung von Jetpack-Funktionen müssen sich die Nutzer mit ihrem WordPress.com-Benutzerkonto verbinden. Unter anderem können dann auch administrative Aufgaben wie z.B. die Installation von Plugins durchgeführt werden.

Hier besteht laut Wordfence das Problem, denn es bedeutet, dass wenn die Zugangsdaten für das WordPress.com-Konto kompromittiert wurden, ein Angreifer sich in dieses WordPress.com-Konto einloggen und beliebige Plugins auf der verbundenen WordPress-Site installieren kann, übrigens egal wo diese gehostet wird. Dazu gehört auch die Schadsoftware, die in dieser Kampagne verwendet wurde.

Was sollte man als Jetpack-Nutzer tun?

2-Faktor-Authentifizierung

Wordfence weist auf die Wichtigkeit der 2-Faktor-Authentifizierung hin, gerade auch in diesem Fall verhindert eine 2FA unberechtigte Zugriffe, z.B. in Form einer App oder einer 2FA über SMS. Es gibt verschiedene Anbieter solcher Apps, Beispiele sind der Last Pass Authenticator oder auch der Google Authenticator (hier beispielhaft von Google Play). Apps sind jeweils für IPhone & Android erhältlich und sind in vielen Fällen zu empfehlen. Die Auswahl an Anbietern ist groß.

Passwörter prüfen und ändern

Wer dazu neigt, das gleiche Passwort für verschiedenen Dienste zu nutzen, beispielsweise wie in diesem Beispiel für die wordpress.com-Nutzung und andere Dienste, sollte diese Passwörter umgehend ändern. Hier wieder einmal die goldene Regel, dass man ein Passwort nicht zweimal oder mehrmals nutzen sollte.

Wenn dann doch etwas passiert ist

Wordfence stellt zur Do-it-yourself-Variante einen Guide zur Bereinigung kompromittierter Websites bereit. Selbstverständlich können Sie sich in einem solchen Fall auch an uns wenden. Wir helfen Ihnen gerne weiter.

Grundsätzliche Nutzung von Jetpack sinnvoll?

Unabhängig von der jetzigen Bedrohung sollte man meiner Meinung nach insgesamt die Nutzung von Jetpack einer Überprüfung unterziehen. Setzen Sie sich mit den datenschutzrechtlichen als auch sicherheitsrelevanten Themen, wie in diesem Beitrag angesprochen, auseinander. Einige Funktionen werden derzeit als nicht dsgvo-konform angesehen.

Den Beitrag von Wordfence finden Sie im Wordfence Blog nachfolgend: Malicious Attack Campaign Targeting Jetpack Users Reusing Passwords

Sie haben Fragen oder benötigen Unterstützung? Schreiben Sie uns.