Hintertüren in mehreren WordPress-Plugins

Nutzer von WordPress.com werden sicherheitshalber um einen Password-Reset gebeten, weil in den Plugins WPouch, W3 Total Cache und AddThis Hintertüren gefunden wurden. Wie sie genau dort hinein gelangt sind, wird noch recherchiert – commits müssen ja von den Autoren akzeptiert und veröffentlicht werden.

Zum Glück waren die infizierten Plugin-Versionen nur für kurze Zeit im Repository. Sicherheitshalber sollten aber alle Betreiber von WordPress-Blogs sichergehen, dass sie auf die neusten Versionen updaten.

No Tracking. No Paywall. No Bullshit.

Unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze jetzt unsere Arbeit mit einer Spende.

Jetzt spenden

12 Ergänzungen

  1. Nutzer von WordPress.com werden sicherheitshalber um einen Password-Reset gebeten,

    Es geht wohl eher um die Nutzer von WordPress.org? WordPress.com hat mit Plugins eher wenig am Hut, oder verstehe ich da was falsch?

    1. Die Nutzer von WordPress.COM werden gerade darum gebeten, weil .COM definitiv infiziert war.
      Für .ORG-Nutzer gilt natürlich das gleiche, die Wahrscheinlichkeit, dass sie die Lücke überhaupt hatten ist aber geringer:

      Sicherheitshalber sollten aber alle Betreiber von WordPress-Blogs sichergehen, dass sie auf die neusten Versionen updaten.

      1. Danke.
        Passt allerdings aus meiner (laienhaften) Sicht nur so halb zu dem, was in der oben verlinkten wordpress.org-News steht: „we’ve decided to force-reset all passwords on WordPress.org“.

    1. Wenn du als Admin einer eigenen WordPress-Installation diese Frage nicht selbst beantworten kannst, würde ich mir an deiner Stelle jetzt auf jeden Fall Sorgen machen. ;)

      1. Nun, ich habe diese 3 Plugins nicht, insoweit wäre alles super. Wenn es nur diese 3 Stück sind.
        Und eigene Installation: Naja, Strato halt.

  2. Noch bessere Lösung: ein standardkonformes, durchdachtes System einsetzen und Schrottpress einfach wegwerfen. WordPress ist das neue Windows: keiner mag es, eigentlich ist es Schrott, aber jeder nutzt es und alle anderen müssen drunter leiden :(

    1. Und man darf nicht vergessen, beim Closed-Source wäre es vielleicht gar nicht aufgefallen. WordPress ist schon durchdacht, für den Anwendungsfall Blog und den Gelegenheitsanwender. Also ich bin dankbar für die Arbeit, die da geleistet wird.

  3. Ah, vielen Dank für den Hinweis.
    Vielleicht ist das der Grund, warum Google (!) mich per Email informiert, dass ich meinen Blog auf die neueste Version updaten soll. Fand ich auf jeden Fall befremdlich…

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.