Sicherheitslücke im WordPress DSGVO-Plugin “WP DSGVO Tools” (shapepress-dsgvo)
Da ich heute morgen mittlerweile acht(!) akute Fälle hatte, bei denen auf Websites Schadcode ausgeführt wurde: offenbar hat derzeit das WordPress-DSGVO-Plugin “WP DSGVO Tools” von legalweb.io (“shapepress-dsgvo”), das für die Erstellung des Impressums, der Datenschutzerklärung und des Cookiebanners auf vielen Website eingesetzt wird, eine Sicherheitslücke. Es wurde bei den betroffenen Websites unter “Statistik” die Funktion “Matomo verwenden” aktiviert und Javascript-Schadcode (das Script “https : // store PUNKT piterreceiver PUNKT ga / jsa / trim PUNKT js”) eingefügt. Dieses bewirkt, dass die Website beim Aufruf auf eine andere Website weiterleitet, die dann versucht, Schadsoftware zu installieren.
Da die Websites ansonsten völlig unterschiedlich aufgebaut sind und ansonsten aktuell gehalten wurden, vermutete ich die Lücke in WP DSGVO Tools. Das Plugin wurde per 20.9. vorübergehend aus dem WordPress-Repository entfernt, somit dürfte ich mit dieser Vermutung richtig liegen. Daher wurde das Plugin auf meinen Kundenwebsites vorerst deaktiviert und entfernt.
Eine Support-Anfrage bei den Entwicklern läuft, Updates zu der Sache gibts dann ebenfalls hier.
Update 12:10 – PluginVulnerabilities.com berichtet über Details zur Sicherheitslücke. Offenbar wird ein Umstieg auf ein anderes Tool nicht erspart bleiben.
Update 16:00: die Entwickler haben ein Update zur Verfügung gestellt, das allerdings manuell installiert werden muss – das Plugin ist weiterhin nicht im offiziellen Repository verfügbar.
Update 27.9.2021 20:00 – erst über drei Tage nach dem Vorfall informiert Shapepress die Kunden der Pro-Version:
In den Versionen <= 3.1.22 von WP DSGVO Tools ist Angreifen gelungen, die Scripten der Integration von Matomo zu manipulieren.
aus dem Mail an die Shapepress-Kunden
In den Eingabefeldern unserer Plugins kann beliebiger Code (HTML, JS,..) eingegeben werden. Auch Code, welcher auf eine andere Seite umleitetet.
Der Angreifer hat es geschafft, z.B. im Matomo Feld Code einzuschleusen, welcher auf andere Seiten weiterleitet – einfache Weiterleitungen. Ansonsten hat diese Lücke keinerlei Auswirkungen.
Da Matomo ohne Einwilligung ausgeführt werden darf, wird der Code in diesem Feld bei Besuch automatisch ausgeführt. Somit wurde der Besucher gleich auf eine andere Seite weitergeleitet.
Wir haben bereits eine Version, die dieses Problem löst.
Da wir aber gerade unter offiziellem Review des WordPress Plugin Teams stehen, können wir das Update zur Zeit nicht in gewohnter Form bereitstellen.
Die korrigierte Version ist unter folgendem Link downloadbar https://legalweb.io/spdsgvo-bin/shapepress-dsgvo.zip
Das Zip muss via WordPress Plugin Installer hochgeladen werden und das bestehende Plugin damit ersetzen. Sobald das Review erledigt ist, kann das Plugin wieder normal aktualisiert werden.
Wichtig:
Alle Integrationen werden sicherheitshalber deaktiviert. Bitte kontrolliert die Scripten der Integrationen (Matomo, …) ob dieser dem gewünschten JS Code entspricht, oder ob es um einen “Weiterleitungs-Script-Code” handelt.
Erst danach die Integration wieder aktivieren.
Praxistipp: Es werden bei der Installation nicht nur alle Integrationen deaktiviert, sondern ALLE Einstellungen des Plugins sind weg! Man darf sich also auf eine gemütliche halbe Stunde einrichten, in der man versucht sich zu erinnern, welche Einstellungen man denn überhaupt gesetzt hatte.
Update 1.10.2021: das Plugin ist nun auch wieder im Repository verfügbar und kann via WordPress-Backend auf die (nun hoffentlich sichere) Version 3.1.24 aktualisiert werden.
- Google Place ID herausfinden – oder: wie man direkt auf die Rezensionen-Eingabemaske verlinken kann! - Sa. 30.3.2024
- Rezension vs. Rezession - Mi. 27.12.2023
- Fröhliche Weihnachten! - So. 24.12.2023
Vielen Dank für diesen aktuellen Beitrag. Das hat mir viel Zeit beim Troubleshooting gespart.
Danke und ich dachte schon ich habe was beim Installieren auf die WP Installationen hochgeladen! Danke!
Danke, mit google suche
auf Deine Hilfe gestoßen, Plugin
WP DSGVO Tools (GDPR)
deaktiviert. alles wieder OK
Vielen Dank Dir! Halt uns auf dem laufenden :)
Besten Dank für diesen Hinweis, den ich über Google gefunden habe – hat mir einiges an Kopfzerbrechen erspart und zur Schonung meiner Nerven beigetragen! :-)
Liebe Grüße aus Graz!
vielen dank für diesen Tip, der schädliche plugin wurde schnell von Ionos hosting gefunden und deaktiviert, auf meiner Webseite. ich kam hier her um zu sehen wozu shapepress ist, also nochmals vielen dank
Vielen Dank für die aktuelle und klare Info!
Meine Seite hat’s auch erwischt. Ich hab das DSGVO-Plugin gelöscht und nicht mehr installiert, meine Seite auf Wartungsmodus gestellt. Nun ist meine Seite aber mit Malware infiziert. Und ich weiss nicht, wie ich das wieder in Ordnung bringen kann.
Birgit: Den Klassiker “Cache löschen” hast du schon probiert? Denn eigentlich sollte nach dem Deaktivieren des Plugins wieder alles laufen. Ansonsten hast du ein anderes Problem auch noch. Bei Bedarf schau ich mir das aber gern näher an -> meld dich gerne.
Mich hatte es ebenfalls erwischt. Hätte ich vorher gewusst, woran es lag, hätte es mir viel Zeit und Nerven erspart. Leider bin ich erst jetzt auf diesen Text gestoßen, nachdem das Blog in mühsamer Prozedur wieder hergestellt werden musste. Zum Glück hatte ich ein aktuelles und sauberes Backup.
Ja welch nette Überraschung dieser Tag doch brachte. Bei meinem gekaperten Projekt war darüber hinaus noch die .htaccess mit zahlreichen zusätzlichen Zeilen geschmückt, weshalb ich den Ansatz erst dort gesucht habe. Das DSGVO Tool war dann aber das Hauptproblem.
Ich habe leider auch letzte Woche mit einigen Fällen zu kämpfen gehabt und musste mich erst mal auf die Suche nach dem Schuldigen machen. Das Plugin ist für mich tabu und ich bin auf eine Alternative umgestiegen.