Sicherheitslücke Litespeed-Cache: wp-cleansong

Axel Riethmüller
11. März 2024
100 % von echten Menschen geschrieben

Die neue Sicherheitslücke in Plugin Litespeed-Cache „wp-cleansong“ sorgt dafür, dass WordPress Websites mit Malware befallen wurden. In diesem Beitrag erfährst du weitere Informationen über den Befall.

Sicherheitslücke

Plugin: litespeed-cache (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N)

Betroffene Version: 5.7

Gepatchte Version: 5.7.0.1

Mehr Informationen gibt es auch unter wp-content/plugins/litespeed-cache/readme.txt nachzusehen.

Symptome

  • Erstellung von Admin-Benutzern
  • Umleitungen, die von js generiert werden, die über die Funktion clean_header() in wp_head eingehängt werden
  • infizierte Kerndateien wie wp-blog-header.php

Ausführung

Angreifer können durch das WordPress Plugin beliebige Webskripte in Seiten einfügen, die ausgeführt werden, sobald sich ein Administrator zum ersten Mal in seinem WordPress Dashboard anmeldet. Das Plugin installiert sich dabei am selben Tag und zur selben Uhrzeit als die Anmeldung erfolgt ist.

Nachvollziehen kann man das Ganze in der access.log Datei.


php use a base64 url =base64_decode("aHR0cHM6Ly9kbnMuc3RhcnRzZXJ2aWNlZm91bmRzLmNvbS9zZXJ2aWNlL2YucGhw"); point to hxxps://dns[.]startservi**founds[.]com/service/f.php (url auf der schwarzen Liste)

Quellen

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/litespeed-cache/litespeed-cache-57-reflected-cross-site-scripting-via-nameservers-and-msg

https://www.reddit.com/r/Wordpress/comments/1balppf/wpcleansong (User: gemedj89)

https://www.risorsainformatica.com/rimozione-malware-sito-wordpress/

Hinweise

Erstmals entdeckt am 27. Februar 2024

Vorbeugung

  • Update auf die neueste Version des Litespeed-Cache-Plugins
  • HTTP(S)-Überwachung für /plugins/wp-cleansong/plane.php
  • Blockiere mit htaccess die Anfragen an song und song1

RewriteEngine On
RewriteCond %{QUERY_STRING} song1 [NC,OR]
RewriteCond %{QUERY_STRING} song2 [NC]
RewriteRule ^ - [F]
  • Zudem kannst du auch plane.php blockieren

Malware-Entfernung

Solltest du Probleme bei der Malware Bereinigung haben, kannst du als WPspace Kunde auf unsere Malware Entfernungsservice zurückgreifen. Dabei scannt unser Team deine WordPress-Installation nach Malware und bereinigt diese bestmöglich.

Solltest du unsere Malware Bereinigung in Anspruch nehmen wollen, kannst du uns einfach eine Nachricht über den Support Chat auf new.wp-space.de/ schreiben. Dabei entstehen einmalige Kosten in Höhe von 250 € zzgl. USt.

Was beinhaltet der Malware Bereinigung?

  1. Wir überprüfen und untersuchen die verdächtigen Dateien gewissenhaft.
  2. Wir bereinigen deine WordPress Seite und entfernen dabei den Schadcode, sowie die neu angelegten Benutzer und treffen weitere Maßnahmen, um deine WordPress Website zu schützen.
  3. Wir informieren dich, sobald die Arbeiten abgeschlossen sind.
  4. Solltest du hinterher noch immer Probleme damit haben, kannst du uns einfach kontaktieren.
Author*in
Axel Riethmüller

Als Webdesigner, absoluter WordPress-Experte und Mitarbeiter von WPspace weiß ich ganz genau, worauf es beim Thema WordPress, Webdesign und Marketing ankommt.

Mehr von Axel anzeigen

Ähnliche Beiträge

WordPress robots.txt: Richtig nutzen und optimieren

9. Sep.

Jonas Dießelberg

WordPress robots.txt: Richtig nutzen und optimieren

Wenn es um die Sichtbarkeit einer Website in Suchmaschinen geht, denken viele zuerst an Keywords, Backlinks oder Content-Strategien. Dabei wird oft übersehen, wie wichtig die...

.htaccess in WordPress erstellen und bearbeiten

15. Juli

Jonas Dießelberg

.htaccess in WordPress erstellen und bearbeiten

Mit der .htaccess-Datei kannst Du das Verhalten Deiner WordPress-Website gezielt verbessern – und das ohne ein Plugin. Du regelst damit unter anderem 301-Weiterleitungen, erhöhst die...

Mails aus WordPress mit SMTP versenden: 5 Minuten Anleitung (2026)

4. März

Isabell Bergmann

Mails aus WordPress mit SMTP versenden: 5 Minuten Anleitung (2026)

Hast du das Problem, dass die Mails deines Website-Kontaktformulars nicht ankommen? Das liegt vermutlich daran, dass deine WordPress Instanz für den Mail-Versand PHP Mail verwendet....

Schreibe einen Kommentar

Wie schnell lädt Dein WordPress?

Teste jetzt die Geschwindigkeit Deiner WordPress Website!
Zum WordPress SpeedTest
Produkte
Ressourcen
Produkte
Support
Unternehmen
Informiert

Made with ❤️ and much ☕️ in Koblenz

Powered by WordPress

© 2026 WPspace®
Trust Badges

(*) Der angezeigt Preis ist der Preis pro Monat. Der Gesamtpreis für den Tarif, der im Voraus an der Kasse zu zahlen ist, umfasst die monatliche Rate multipliziert mit der Anzahl der Monate (gewählte Vertragslaufzeit).

Alle Preise auf dieser Website verstehen sich zzgl. 19% USt. Unser Angebot richtet sich ausschließlich an Gewerbetreibende. Jede Neukundenbestellung wird einzeln überprüft. Bestellungen von Privatpersonen werden nicht akzeptiert. Sofern ein Unternehmen nicht identifiziert werden kann, sind weitere Nachweise, wie zum Beispiel Handelsregisterauszug oder Gewerbeanmeldung für die Überprüfung notwendig. Angebote sind nur für eine begrenzte Zeit gültig und teils von Mindestvertragslaufzeiten abhängig. Hier findest du unsere allgemeinen Geschäftsbedingungen.

Bei Links, die mit einem * markiert sind, handelt es sich um Affiliate Links. Wenn du ein Produkt über diesen Link kaufst, bekommt WPspace eine kleine Provision. Dir entstehen dadurch keine zusätzlichen Kosten oder Nachteile! Das hat keinerlei Einfluss auf unsere Meinung zu einzelnen Produkten und Dienstleistungen – wir empfehlen euch nur, was wir auch selbst lieben.

WPspace is a proud member and supporter of the community of WordPress® users. WPspace is not a part of the WordPress® website, WordPress Foundation or Automattic Inc.. Additionally, WPspace is NOT endorsed by WordPress® in any way. WordPress® is a trademark of the WordPress Foundation.