gehackt….

Ich kann das Problem best?tigen, es reicht aber das Plugin zu deaktivieren im Backend um die Seite wieder verfügbar zu machen.

Same here … siehe auch mein Posting davor. Ich hab den Anbieter kontaktiert, die schauen sich das jetzt gerade live an.

Ich kann das Problem best?tigen, es reicht aber das Plugin zu deaktivieren im Backend um die Seite wieder verfügbar zu machen.

Richtig, aber die Datenschutztexte, Cookie-Akzeptanz-Buttons etc. sind natürlich dann weg bzw. müssen aus der Datenbank s.o. wieder zusammengesammelt werden..

• This reply was modified 3 years, 1 month ago by muxipups.

Wir haben dir Ursache schon gefunden:
Grund ist, das in den Scripten der Integrationen (zB Matomo) ein Script injected wurde, dass die Umleitung durchführt.
An der L?sung wird schon gearbeitet.

Hier das gleiche. Danke für den Einsatz!

Mich irritiert dieser Satz hier bei www.remarpro.com:

This plugin has been closed as of September 20, 2021 and is not available for download. This closure is temporary, pending a full review.

Das Problem ist schon drei Tage bekannt? Oder handelt es sich hierbei um ein anderes Problem?

• This reply was modified 3 years, 1 month ago by kigazw.

Danach hatte ich auch gefragt, die Antwort:

“wir wurden ein erneutes review unterzogen da wir hohe downloadzahlen haben und da hat dem review team ein paar punkte nicht gepasst. wir haben das aber schon korrigiert und wieder eingereicht”

Auf unserer Seite wurde das Problem schon behoben, habt also Vertrauen und etwas Geduld, die arbeiten tats?chlich dran. ??

Vielen Dank!

Kein Problem, solche Dinge passieren eben. Da muss man geduldig sein.

Hab jetzt auch etliche Seiten mit Problemen, da ich das Plugin immer gern eingesetzt habe.

Same here – na super. Nachdem ich jetzt einige Stunden gesucht hab’, hab’ ich’s jetzt auch festgestellt, dass es an Eurem Plugin liegt.
Wichtig: auch den Cache l?schen …

• This reply was modified 3 years, 1 month ago by sebastianfloka.

Dürfte laut ?ffentlichen Infos (“plugin vulnerabilities”) eine Stored XSS-Sicherheitslücke sein. Also steht in der Datenbank drin.

Eigentlich müssten die AJAX-Funktionen komplett ge?ndert und angepasst werden. Das bisschen Escapen dürfte nicht komplett die Sicherheitslücken schlie?en, nur so als Hinweis.

Falls verfügbar ein sauberes Datenbank-Backup einspielen, NinjaFirewall einrichten (verhindert die meisten XSS-Sicherheitslücken effizient) und dann die Lage per Monitoring im Auge behalten.

Ich hatte mal eine Anleitung dafür vor einiger Zeit erstellt: https://raw.githubusercontent.com/DanielRuf/ninjafirewall-setup-documentation/main/ninjafirewall-setup-de.pdf

Ein kurzer Test mit dem Proof of Concept von dem Artikel zeigt zumindest die Meldung der Firewall an, dass die Anfrage blockiert wurde.

Ich drücke euch die Daumen, dass die Probleme zeitnah behoben werden k?nnen.

Wir haben nun eine Version, die dieses Problem l?sen soll.
Diese ist unter folgendem Link downloadbar https://legalweb.io/spdsgvo-bin/shapepress-dsgvo.zip

Problem war, wie obens schon erw?hnt, dass in den Scripten der Integrationen (zB Matomo) ein anderes Script injected wurde, dass die Umleitung durchführt.

Wichtig:
Alle Integrationen werden sicherheitshalber deaktiviert. Bitte kontrolliert die Scripten eurer Integrationen (Google Analytics, Matomo, …) ob es wirklich noch euer Code ist, oder ob es um einen “Weiterleitungs-Script-Code” handelt.
Erst danach die Integration wieder aktivieren.

Ihr müsst das Zip via WordPress Plugin Installer hochladen und das bestehende Plugin damit ersetzen.

Wir bitten um Rückmeldung falls es nicht klappt.

• This reply was modified 3 years, 1 month ago by legalweb.io.

Nein, sind sie nicht, das hat nichts mit Matomo oder sonst einem Dienst zu tun.
In den Eingabefeldern unserer Plugins kann beliebiger Code (html, js,..) eingegeben werden. Auch Code, welcher auf eine andere Seite umleitetet.
Der Angreifer hat es geschafft, z.B. im Matomo Feld Code einzuschleusen, welcher auf andere Seiten weiterleitet.
Da Matomo ohne Einwilligung ausgeführt werden darf, wird der Code in diesem Feld bei Besuch automatisch ausgeführt. Somit wurde der Besucher gleich auf eine andere Seite weitergeleitet.

Danke! Ich will es nur verstehen:

Dann wurde jede betroffene WordPress-Installation einzeln angegriffen, oder?

Und Euer Script hat hierzu quasi die Türe ge?ffnet?

Www. Domain.de/pluginScript/ Index?=b?sezeilenmitumleitung

Gespeichert.

Ab sofort wird jetzt bei jedem Seitenaufruf im Header statt der gewünschte Dienst die Umleitung ausgegeben, fertig.

So in etwa?

Dann fehlte quasi nur eine Abfrage ob der “?nderer” auch Admin ist.

• This reply was modified 3 years, 1 month ago by kigazw.

Moment, wie kann hier eine SQL-Injection von au?erhalb erfolgen? Gibt es hier eine Sicherheitslücke in einem veralteten Plugin oder Theme? Das w?re noch wichtiger zu wissen. Alle Formulare, Verzeichnisse, Login sind bei uns abgesichert, wie kann das also m?glich sein?

Eine transparente Aufkl?rung der Sicherheitslücke durch den Plugin Autor ist hier absolut angebracht. Wo lag der Fehler, wie wurde er behoben, was kann der Angreifer evtl. noch gemacht haben?

Dabei geht es nicht darum den Autor hier fertig zu machen oder sowas, sondern einfach um kompetente Krisenkommunikation die uns allen sehr weiterhelfen würde!