Betrugswarnung: WordPress-Security-Team Nachahmer

Das WordPress-Sicherheitsteam ist sich mehrerer laufender Phishing-Angriffe bewusst, die sich sowohl als „WordPress-Team“ als auch als „WordPress-Security-Team“ ausgeben und versuchen, Administrator*innen davon zu überzeugen, ein Plugin auf ihrer Website zu installieren, das Malware enthält.

Das WordPress-Security-Team wird dich niemals per E-Mail auffordern, ein Plugin oder Theme auf deiner Website zu installieren, und wird niemals nach einem Admin-Benutzernamen und -Passwort fragen.

Wenn du eine unaufgeforderte E-Mail erhältst, die behauptet, von WordPress zu stammen und die ähnliche Anweisungen wie die oben beschriebenen enthält, ignoriere die E-Mails und melde sie bei deinem E-Mail-Anbieter als Spam.

Diese E-Mails verweisen auf eine Phishing-Website, die aussieht als wäre sie das WordPress-Plugin-Verzeichnis. Es handelt sich um eine Domain, die nicht zu WordPress oder einem verbundenen Unternehmen gehört. Sowohl Patchstack (engl.) als auch Wordfence (engl.) haben Artikel verfasst, in denen sie weitere Einzelheiten erläutern.

Offizielle E-Mails des WordPress-Projekts:

  • kommen von den wordpress.org oder wordpress.net Domains.
  • sind in der Detail-Ansicht als “Signed by: wordpress.org” gekennzeichnet.
Screenshot einer E-Mail, die von einem WordPress.org-E-Mail-Account versendet wurde. Die Details enthalten "mailed-by wordpress.org" und "signed-by wordpress.org".

Das WordPress-Security-Team wird nur über die folgenden Kanäle mit WordPress-Benutzer*innen kommunizieren:

Das WordPress-Plugin-Team wird niemals direkt mit den Anwender*innen eines Plugins kommunizieren, kann aber Plugin-Support-Mitarbeitende, Besitzer*innen und Mitwirkende anschreiben. Diese E-Mails werden von pluginswordpress.org gesendet und wie oben angegeben signiert.

Das offizielle WordPress-Plugin-Verzeichnis befindet sich unter wordpress.org/plugins, mit internationalisierten Versionen auf Subdomains wie de.wordpress.org/plugins, en-au.wordpress.org/plugins, usw. Eine Subdomain kann einen Bindestrich enthalten, vor wordpress.org wird jedoch immer ein Punkt stehen.

Administrator*innen einer WordPress-Website können auch über den Menüpunkt „Plugins“ im WordPress-Dashboard auf das Plugin-Verzeichnis zugreifen.

Da WordPress das am häufigsten verwendete CMS ist, wird es gelegentlich zu dieser Art von Phishing-Betrug kommen. Bitte sei wachsam, wenn du unerwartete E-Mails erhältst, in denen du aufgefordert wirst, ein Theme oder ein Plugin zu installieren, oder in denen ein Link zu einem Anmeldeformular enthalten ist.

Das BSI hat einige nützliche Tipps zur Erkennung von möglichen Scam-E-Mails und Websites.

Wie immer, wenn du glaubst, dass du eine Sicherheitslücke in WordPress entdeckt hast, befolge bitte die Sicherheitsrichtlinien des Projekts (engl.), indem du das Problem direkt an das WordPress-Sicherheitsteam über die offizielle HackerOne-Seite des Projekts meldest.

Schreibe einen Kommentar