Ein schwerwiegender Sicherheitsfehler im WordPress-Plugin Funnel Builder sorgt derzeit für große Sorgen bei Betreibern von Online-Shops. Derzeit nutzen Angreifer die Schwachstelle aktiv aus, um schädlichen JavaScript-Code in WooCommerce-Kassenseiten einzuschleusen. Besonders kritisch: Die Attacke funktioniert ohne Anmeldung oder besondere Zugriffsrechte.

Betroffen sind alle Versionen des Plugins vor Version 3.15.0.3. Das Plugin dient dazu, WooCommerce-Checkouts zu optimieren. Shop-Betreiber können damit unter anderem Landingpages erstellen, One-Click-Upsells integrieren und die Conversion-Rate steigern. Laut Angaben von WordPress.org ist das Plugin auf mehr als 40.000 Websites aktiv.

Entdeckt wurde die Angriffswelle von Sansec. Die Experten fanden heraus, dass die Angreifer ein manipuliertes Skript nutzen, das sich als legitimer Google-Analytics- beziehungsweise Google-Tag-Manager-Code tarnt. Im Hintergrund wird dabei jedoch eine Verbindung zu einem externen Server aufgebaut, über die weitere Schadsoftware nachgeladen werden kann.

Die Sicherheitslücke ermöglicht es Angreifern, die globalen Einstellungen des Plugins über einen öffentlich erreichbaren Checkout-Endpunkt zu verändern. Dadurch können beliebige JavaScript-Dateien in die sogenannten „External Scripts“ eingefügt werden. Der schädliche Code wird anschließend automatisch auf jeder Checkout-Seite des Shops ausgeführt.

Besonders gefährlich ist dabei ein sogenannter Payment-Skimmer. Dieser späht sensible Zahlungs- und Kundendaten aus, darunter:

• Kreditkartennummern
• CVV-Sicherheitscodes
• Rechnungsadressen
• Weitere persönliche Kundendaten

Solche gestohlenen Informationen werden häufig für betrügerische Online-Einkäufe verwendet oder in kriminellen Carding-Foren im Darknet verkauft.

Weiterer Artikel zum Thema: WordPress 7.0 und Cybersicherheit: Warum das Update für Website-Betreiber sicherheitsrelevant ist

Der Hersteller FunnelKit hat inzwischen reagiert und die Schwachstelle mit Version 3.15.0.3 geschlossen. Website-Betreibern wird dringend empfohlen, das Plugin sofort über das WordPress-Dashboard zu aktualisieren. Zusätzlich sollten Administratoren die Einstellungen unter „Checkout > External Scripts“ überprüfen, um mögliche unbekannte oder verdächtige Skripte zu entfernen.

Was WooCommerce-Shopbetreiber jetzt tun sollten

Betreiber von WooCommerce-Shops sollten umgehend handeln, um Kunden- und Zahlungsdaten zu schützen. Experten empfehlen folgende Maßnahmen:

1. Plugin sofort aktualisieren
   Die wichtigste Maßnahme ist das schnelle Update von Funnel Builder auf mindestens Version 3.15.0.3.
2. Checkout-Seiten prüfen
   Shopbetreiber sollten kontrollieren, ob unbekannte JavaScript-Dateien oder verdächtige externe Skripte eingebunden wurden – insbesondere im Bereich „External Scripts“.
3. Server- und Sicherheitslogs analysieren
   Verdächtige Zugriffe, ungewöhnliche Änderungen oder unbekannte Administrator-Aktivitäten sollten überprüft werden.
4. Passwörter ändern
   Administrator-Accounts, FTP-Zugänge, Datenbank-Zugriffe und Hosting-Passwörter sollten vorsorglich erneuert werden.
5. Zahlungsdienstleister informieren
   Falls der Verdacht besteht, dass Kundendaten abgeflossen sind, sollten Payment-Provider und gegebenenfalls Datenschutzbehörden informiert werden.
6. Kunden warnen
   Wurden Zahlungsdaten kompromittiert, kann es notwendig sein, betroffene Kunden über mögliche Risiken zu informieren und zur Kontrolle ihrer Kreditkartenabrechnungen aufzufordern.
7. Webseite auf Malware scannen
   Ein vollständiger Sicherheits- und Malware-Scan hilft dabei, weitere Hintertüren oder manipulierte Dateien aufzuspüren.

Die aktuelle Angriffswelle zeigt erneut, wie wichtig regelmäßige Updates und Sicherheitsprüfungen für Online-Shops sind. Gerade E-Commerce-Websites stehen zunehmend im Fokus von Cyberkriminellen, da sie besonders wertvolle Zahlungs- und Kundendaten verarbeiten.