Vertrauenswürdig

Ein stiller WordPress-Hack: Die nächste große Krypto-Exploit?

2 Min.
Aktualisiert von Julian Brandalise
Trete hier unserer Community auf Telegram bei!

Kurz & knapp

  • Gefährliche Sicherheitslücke: Über 40.000 WordPress-Seiten durch Post SMTP-Plugin bedroht!
  • Hacker-Angriff: Malware, E-Mail-Abfang und Krypto-Umleitung durch manipulierte Front-End-Infrastruktur!
  • Wallets bleiben größtenteils unberührt, aber Krypto-Websites mit veralteten Plugins sind ernsthaften Betrugs- und Datendiebstahlrisiken ausgesetzt.
  • promo

Eine kritische Schwachstelle in einem beliebten WordPress-Plugin kann es Hackern ermöglichen, benutzerorientierte Krypto-Websites zu kapern. Diese Schwachstelle bietet potenziell Möglichkeiten für böswillige Akteure, Phishing-Seiten, gefälschte Wallet-Links und schädliche Weiterleitungen einzuschleusen. 

Obwohl dieser Fehler die Wallet-Backends oder Token-Verträge nicht betrifft, gefährdet er die Frontend-Infrastruktur, auf die Nutzer angewiesen sind, um sicher mit Krypto-Diensten zu interagieren. Obwohl das Plugin inzwischen gepatcht wurde, bleiben Zehntausende von Websites ungeschützt und verwenden veraltete Versionen. 

Krypto-Verbrechen und WordPress-Schwachstellen

Krypto-Verbrechen sind derzeit auf einem Höchststand, und viele unerwartete Vektoren können neue Betrugsangriffe ermöglichen. Zum Beispiel zeigt ein aktueller Bericht von Patchstack, einem digitalen Sicherheitsunternehmen, eine neue WordPress-Schwachstelle, die potenziell neue Krypto-Betrügereien ermöglichen könnte.

„Das Plugin Post SMTP, das über 400.000 Installationen hat, ist ein E-Mail-Zustellungs-Plugin. In den Versionen 3.2.0 und darunter ist das Plugin anfällig für mehrere Schwachstellen bei der Zugriffskontrolle in seinen REST-API-Endpunkten… was es jedem registrierten Benutzer (einschließlich Benutzern auf Abonnentenebene, die überhaupt keine Berechtigungen haben sollten) ermöglicht, eine Vielzahl von Aktionen auszuführen“, hieß es.

Diese Funktionen umfassten: Anzeigen von E-Mail-Zählstatistiken, erneutes Senden von E-Mails und Anzeigen detaillierter E-Mail-Protokolle, einschließlich des gesamten E-Mail-Inhalts.

Ein WordPress-Hacker könnte diese Schwachstelle nutzen, um E-Mails zum Zurücksetzen von Passwörtern abzufangen und möglicherweise die Kontrolle über Administrator-Konten zu erlangen.

Wie WordPress-Schwachstellen zu Krypto-Betrug führen können

Wie könnte diese WordPress-Schwachstelle zu Krypto-Betrug führen? Leider sind die Möglichkeiten praktisch endlos. Gefälschte Kundensupport-E-Mails waren bei vielen jüngsten Phishing-Versuchen entscheidend, daher ist bereits eine begrenzte E-Mail-Kontrolle gefährlich.

Eine kompromittierte Website, die WordPress verwendet, könnte gefälschte Token und Betrugswebsites in externe Links einfügen, indem sie bösartige Skripte und Weiterleitungen verwendet.

Hacker könnten Passwörter sammeln und versuchen, sie auf einer Liste von Börsen zu verwenden. Sie könnten sogar Malware in jeden Benutzer injizieren, der eine bestimmte Seite öffnet.

WordPress und Krypto-Sicherheit

Oberflächlich betrachtet verwenden die meisten Krypto-Wallets und Token-Plattformen WordPress nicht für ihre Kerninfrastruktur. Es wird jedoch oft für benutzerorientierte Funktionen wie Startseiten und Kundensupport verwendet.

Wenn ein kleines oder neues Projekt ohne solides Ingenieurteam kompromittiert wird, könnten Sicherheitsverletzungen unbemerkt bleiben. Infizierte WordPress-Konten könnten Benutzerinformationen für zukünftige Betrügereien sammeln oder Kunden direkt zu Phishing-Versuchen leiten.

Patchstack und die Lösung der Schwachstelle

Glücklicherweise hat Patchstack schnell einen Fix für diesen speziellen Fehler veröffentlicht. Aber mehr als 10 Prozent der Post SMTP Nutzer haben ihn nicht installiert. Das bedeutet, dass etwa 40.000 Websites anfällig für Ausbeutung sind, was ein großes Sicherheitsrisiko darstellt.

Erfahrene Krypto-Nutzer sollten ruhig bleiben und standardmäßige Sicherheitspraktiken anwenden. Vertraue keinen zufälligen E-Mail-Links, bleibe bei vertrauenswürdigen Projekten, verwende Hardware-Wallets usw. Die größte Verantwortung liegt bei den Website-Betreibern selbst.

Wenn ein kleines Krypto-Projekt eine WordPress-Seite betreibt, ohne den Patchstack-Bugfix herunterzuladen, könnten Hacker es nutzen, um eine endlose Liste von Betrügereien zu betreiben. Kurz gesagt, Krypto-Nutzer sollten sicher sein, solange sie bei nicht-mainstream Projekten Vorsicht walten lassen.

Die besten Krypto-Plattformen
YouHodler YouHodler Erkunden
COCA COCA Erkunden
Die besten Krypto-Plattformen
YouHodler YouHodler Erkunden
COCA COCA Erkunden
Die besten Krypto-Plattformen
OKX OKX
MEXC MEXC
Wirex Wirex
YouHodler YouHodler
COCA COCA

Haftungsausschluss

In Übereinstimmung mit den Richtlinien des Trust Project verpflichtet sich BeInCrypto zu einer unvoreingenommenen, transparenten Berichterstattung. Dieser Artikel zielt darauf ab, genaue und aktuelle Informationen zu liefern. Den Lesern wird jedoch empfohlen, die Fakten unabhängig zu überprüfen und einen Fachmann zu konsultieren, bevor sie auf der Grundlage dieses Inhalts Entscheidungen treffen.

Gesponsert
Gesponsert