Wordpress - Spam über Plugin Contact Form 7

[dr. bob]

Hallo Leute,

ich betreue nebenbei eine Website, die mit der aktuellen Wordpress Version 3.61 läuft. Ich nutze dort auch das aktuelle Plugin Contact Form 7 mit der angebotenen Captcha Funktion.
Seit heute früh bekomme ich im Minutentakt "nicht Zustellbarkeitsberichte" auf die Mail Adresse hinter der Kontakt Form.
Auf Nachfrage bei meinem Hoster all-inkl bekam ich die Antwort, mein Formular wurde gehackt und nun werden darüber Mails mit Pornolinks versendet.

Um dem entgegen zu wirken habe ich das Kontakt Formular vorerst entfernt. Allerdings möchte ich dieses wieder einbinden.
Welche Möglichkeiten habe ich um das ganze sicherer zu gestallten?
Auf welchem Weg werden diese Mails eigentlich verschickt? Könnte das irgendwie über SQL Injection passieren?
Im Postausgang der Webmail Oberfläche ist nichts zu sehen.

Hoffe einer kann mir helfen.

Vielen Dank

 

[Daaron]

Die Wege, Wordpress zu hacken, sind quasi zahllos und unergründlich. Es gibt nur einen Weg, Wordpress abzusicher: Deinstallieren...
Über irgend eine der tausend Sicherheitslücken ist ein Eindringling in dein Formular gelangt. Das kann ne SQL Injection gewesen sein, er kann per Cookie Spoofing deinen Login geknackt haben, er kann per Brute-Force deinen Admin-Account geknackt haben (du heißt doch sicher auch "admin" und hast kein .htpasswd für /admin angelegt...), er kann eine schwere Lücke in deinem Theme ausgenutzt haben (lass mich raten: <=20$ bei Themeforrest, hergestellt in Osteuropa oder Fernost?),...

Durchsuch deine .php-Dateien nach "exec(" und "base64". Ich möcht wetten, da findest du ne Menge Stellen, in denen erst ein bisschen (scheinbare) Datengrütze mit base64_decode() in sauberen PHP-Code umgewandelt und dann von eval() gezündet wird.

Wie die Mails dann verschickt wurden? Das ist leicht: PHP Mailer. Der beste Weg, so etwas (als Hoster) zu vermeiden: schalt die Funktion für den User einfach ab.

 

[dr. bob]

Hmm, das klingt ja rosig. Vielen Dank für die ausführliche Antwort.

Ich hab Contact Form 7 erstmal deaktiviert. Das Template ist das Wordpress eigene Twenty Eleven, nur ein bisschen angepasst. Das der Admin Account kompromittiert ist, kann ich eigentlich ausschließen. Nach Deaktivierung des Plugins hatte sich der Spam Versand erledigt.

Dachte eigentlich mit Wordpress ne gute Wahl getroffen zu haben.

 

[Daaron]

Wordpress ist vom Bedienkomfort her unschlagbar. Auch die reinen Blogging-Funktionen sind erstklassig. Außerdem gibt es echt viele kostenlose oder billige Themes und Addons....
Da hören die guten Punkte aber auf.

Die Codebasis von Wordpress ist ein totaler Sauhaufen. Inkonsistent, stellenweise vorsintflutlich formuliert, häufig pure Bad Practise. Anstatt hier aber mal einen Schnitt zu machen und den Saustall aufzuräumen werden immer neue (verbuggte) Features eingeführt.
Aus so schlechtem Code resultiert natürlich auch, dass das Endergebnis kaum wartbar ist und Sicherheitsprobleme werden, wenn überhaupt, eben erst sehr spät entdeckt.