WORDPRESS-HÄNDLER, ACHTUNG: Wenn DEIN WooCommerce-Store den Funnel Builder im Einsatz hat, klauen Hacker gerade in diesem Moment Kreditkartendaten aus deinen Checkout-Seiten. Eine kritische Lücke im populären Funnel-Builder-Plugin wird AKTIV exploitet — über 40.000 Stores im Netz, fertig zum Abgrasen.
SO LÄUFT DER ANGRIFF ab
Das Loch sitzt in der „External Scripts“-Funktion des Plugins. Diese sollte eigentlich nur eingeloggten Admins erlauben, Tracking-Snippets wie Google Tag Manager einzubinden. Doch der Bug erlaubt UNAUTHENTIFIZIERTEN Angreifern, beliebigen JavaScript-Code in JEDE Checkout-Seite des Stores einzuschleusen. Kein Login, kein Cookie, kein User-Account nötig.
FAKE Google-Tag-Manager als Trojaner
Die Angreifer tarnen ihre Skimmer raffiniert: Sie pflanzen einen fake „Google Tag Manager“-Loader ins Plugin-Setting. Der zieht JavaScript von einer Remote-Domain nach, öffnet eine WebSocket-Verbindung zum C2-Server des Angreifers und holt sich von dort einen auf den Store maßgeschneiderten Skimmer. Der greift im Checkout JEDES Zeichen ab, das ins Formular getippt wird: Kreditkartennummer, CVV, Rechnungsadresse, Name.
BETROFFENE Versionen + PATCH
Alle Versionen vor 3.15.0.3 sind angreifbar. Der Hersteller hat den Patch bereits ausgerollt. Wer auf 3.15.0.3 oder neuer ist, ist sauber. ABER: Das WordPress-Auto-Update muss aktiviert sein, sonst tut sich auf deiner Seite NICHTS. Im Admin-Backend unter Plugins → Installierte Plugins nachschauen — wenn da ein Update bereitsteht, JETZT klicken.
BEREITS infiziert? SO findest DU den Skimmer
Auch nach dem Update bleibt der bösartige Script-Eintrag in der Konfiguration stehen. Du musst MANUELL aufräumen:
- Im WP-Admin auf Settings → Checkout → External Scripts gehen.
- JEDEN Eintrag prüfen: Steht da irgendwas, das du NICHT selbst eingetragen hast?
- Verdächtige Snippets (insb. mit unbekannten Domains oder
fetch()-Calls auf fremde URLs) sofort löschen. - Den WooCommerce-Store-Code im Browser-Devtools-Network-Tab beobachten — gibt es ausgehende WebSocket-Verbindungen, die nicht zu dir gehören?
WAS WAR die Lücke technisch?
Eine fehlende Capability-Prüfung in der REST-Route, über die das Plugin die External-Scripts-Settings ändert. Klassischer Anfänger-Fehler: register_rest_route() ohne permission_callback bzw. mit return true. Damit kann JEDER Internet-User die Settings überschreiben — und das passierte hier zu Tausenden.
UNRUH bei deiner Karte? SO MELDEST du
Wenn du als Käufer verdächtige Abbuchungen siehst nach einem Einkauf in einem WooCommerce-Store: Karte sofort sperren und neue beantragen. Die Bank-Hotline reicht — die kennen das Procedere bei Card-Skimming. Plus: Schau dir die letzten 14 Tage Transaktionen GENAU an, Skimmer-Karten werden meist erst Wochen später systematisch geleert.
FAZIT: Patch + manueller Cleanup PFLICHT
Der Funnel Builder ist nicht das erste WooCommerce-Plugin mit Skimmer-Lücke, und garantiert nicht das letzte. Pflichtprogramm: Alle WooCommerce-Plugins auf dem neuesten Stand halten, External-Scripts-Settings regelmäßig prüfen, und einen Content-Security-Policy-Header setzen, der nur deine eigenen Script-Domains erlaubt. Das stoppt die Mehrheit dieser Angriffe in der ersten Sekunde.
Häufige Fragen
Welche Versionen sind betroffen?
Wie merke ich, ob mein Store schon infiziert ist?
Reicht ein Plugin-Update aus?
Wie schütze ich mich künftig?
Quellen: