Spenden

Dieser Artikel ist mehr als 14 Jahre alt.

Hintertüren in mehreren WordPress-Plugins

Nutzer von WordPress.com werden sicherheitshalber um einen Password-Reset gebeten, weil in den Plugins WPouch, W3 Total Cache und AddThis Hintertüren gefunden wurden. Wie sie genau dort hinein gelangt sind, wird noch recherchiert – commits müssen ja von den Autoren akzeptiert und veröffentlicht werden.

  • Linus Neumann
Linus Neumann
12

Nutzer von WordPress.com werden sicherheitshalber um einen Password-Reset gebeten, weil in den Plugins WPouch, W3 Total Cache und AddThis Hintertüren gefunden wurden. Wie sie genau dort hinein gelangt sind, wird noch recherchiert – commits müssen ja von den Autoren akzeptiert und veröffentlicht werden.

Zum Glück waren die infizierten Plugin-Versionen nur für kurze Zeit im Repository. Sicherheitshalber sollten aber alle Betreiber von WordPress-Blogs sichergehen, dass sie auf die neusten Versionen updaten.

Über die Autor:innen

  • Linus Neumann
    Linus Neumann

    Dipl.-Psych. Linus Neumann war seit 2010 mehrere Jahre Mitglied der Netzpolitik-Redaktion und ist einer der Sprecher des Chaos Computer Clubs. Zusammen mit Tim Pritlove macht er den wöchentlichen Podcast Logbuch:Netzpolitik. Er arbeitet in Berlin bei einem Unternehmen im Bereich der IT-Sicherheit. Ab und an twittert er ein bisschen Unsinn. Per E-Mail erreicht man ihn hier.

Veröffentlicht

Kategorie

Schlagwörter

,

Weiterlesen

Thema

Datenschutz

Thema

Datensicherheit

Thema

Digitalkultur

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

12 Kommentare zu „Hintertüren in mehreren WordPress-Plugins“

  1. heinzkamke

    ,

    Nutzer von WordPress.com werden sicherheitshalber um einen Password-Reset gebeten,

    Es geht wohl eher um die Nutzer von WordPress.org? WordPress.com hat mit Plugins eher wenig am Hut, oder verstehe ich da was falsch?

    1. Linus Neumann

      ,

      Die Nutzer von WordPress.COM werden gerade darum gebeten, weil .COM definitiv infiziert war.
      Für .ORG-Nutzer gilt natürlich das gleiche, die Wahrscheinlichkeit, dass sie die Lücke überhaupt hatten ist aber geringer:

      Sicherheitshalber sollten aber alle Betreiber von WordPress-Blogs sichergehen, dass sie auf die neusten Versionen updaten.

      1. heinzkamke

        ,

        Danke.
        Passt allerdings aus meiner (laienhaften) Sicht nur so halb zu dem, was in der oben verlinkten wordpress.org-News steht: „we’ve decided to force-reset all passwords on WordPress.org“.

  2. Tobias

    ,

    Gut ist dann auch, wenn man den Adminbereich zusätzlich per .htaccess geschützt hat, so können sich Angreifer trotzdem nicht einloggen!

  3. Blogtipps

    ,

    Mit der Smartphone App kann man auch im kostenlosen WordPress Blog sheduled bloggen, also zu bestimmten Terminen automatisch veröffentlichen (lassen).

  4. Volker

    ,

    Sind das dann die einzigen 3 betroffenen Plugins? Sprich, muss man sich Sorgen machen, wenn man die nicht benutzt?

    1. Otzelotz

      ,

      Wenn du als Admin einer eigenen WordPress-Installation diese Frage nicht selbst beantworten kannst, würde ich mir an deiner Stelle jetzt auf jeden Fall Sorgen machen. ;)

      1. Volker

        ,

        Nun, ich habe diese 3 Plugins nicht, insoweit wäre alles super. Wenn es nur diese 3 Stück sind.
        Und eigene Installation: Naja, Strato halt.

  5. karl

    ,

    Noch bessere Lösung: ein standardkonformes, durchdachtes System einsetzen und Schrottpress einfach wegwerfen. WordPress ist das neue Windows: keiner mag es, eigentlich ist es Schrott, aber jeder nutzt es und alle anderen müssen drunter leiden :(

    1. Timo

      ,

      Genau…95% aller User haben es, es wird vorinstalliert geliefert, ist closed source und teuer.….….

    2. T.Müller

      ,

      Und man darf nicht vergessen, beim Closed-Source wäre es vielleicht gar nicht aufgefallen. WordPress ist schon durchdacht, für den Anwendungsfall Blog und den Gelegenheitsanwender. Also ich bin dankbar für die Arbeit, die da geleistet wird.

  6. Mißfeldt

    ,

    Ah, vielen Dank für den Hinweis.
    Vielleicht ist das der Grund, warum Google (!) mich per Email informiert, dass ich meinen Blog auf die neueste Version updaten soll. Fand ich auf jeden Fall befremdlich…

Dieser Artikel ist älter als 14 Jahre, daher sind die Ergänzungen geschlossen.