Hintertüren in mehreren WordPress-Plugins

Nutzer von WordPress.com werden sicherheitshalber um einen Password-Reset gebeten, weil in den Plugins WPouch, W3 Total Cache und AddThis Hintertüren gefunden wurden. Wie sie genau dort hinein gelangt sind, wird noch recherchiert – commits müssen ja von den Autoren akzeptiert und veröffentlicht werden.

Zum Glück waren die infizierten Plugin-Versionen nur für kurze Zeit im Repository. Sicherheitshalber sollten aber alle Betreiber von WordPress-Blogs sichergehen, dass sie auf die neusten Versionen updaten.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

12 Ergänzungen

  1. Nutzer von WordPress.com werden sicherheitshalber um einen Password-Reset gebeten,

    Es geht wohl eher um die Nutzer von WordPress.org? WordPress.com hat mit Plugins eher wenig am Hut, oder verstehe ich da was falsch?

    1. Die Nutzer von WordPress.COM werden gerade darum gebeten, weil .COM definitiv infiziert war.
      Für .ORG-Nutzer gilt natürlich das gleiche, die Wahrscheinlichkeit, dass sie die Lücke überhaupt hatten ist aber geringer:

      Sicherheitshalber sollten aber alle Betreiber von WordPress-Blogs sichergehen, dass sie auf die neusten Versionen updaten.

      1. Danke.
        Passt allerdings aus meiner (laienhaften) Sicht nur so halb zu dem, was in der oben verlinkten wordpress.org-News steht: „we’ve decided to force-reset all passwords on WordPress.org“.

  2. Gut ist dann auch, wenn man den Adminbereich zusätzlich per .htaccess geschützt hat, so können sich Angreifer trotzdem nicht einloggen!

  3. Mit der Smartphone App kann man auch im kostenlosen WordPress Blog sheduled bloggen, also zu bestimmten Terminen automatisch veröffentlichen (lassen).

  4. Sind das dann die einzigen 3 betroffenen Plugins? Sprich, muss man sich Sorgen machen, wenn man die nicht benutzt?

    1. Wenn du als Admin einer eigenen WordPress-Installation diese Frage nicht selbst beantworten kannst, würde ich mir an deiner Stelle jetzt auf jeden Fall Sorgen machen. ;)

      1. Nun, ich habe diese 3 Plugins nicht, insoweit wäre alles super. Wenn es nur diese 3 Stück sind.
        Und eigene Installation: Naja, Strato halt.

  5. Noch bessere Lösung: ein standardkonformes, durchdachtes System einsetzen und Schrottpress einfach wegwerfen. WordPress ist das neue Windows: keiner mag es, eigentlich ist es Schrott, aber jeder nutzt es und alle anderen müssen drunter leiden :(

    1. Genau…95% aller User haben es, es wird vorinstalliert geliefert, ist closed source und teuer………

    2. Und man darf nicht vergessen, beim Closed-Source wäre es vielleicht gar nicht aufgefallen. WordPress ist schon durchdacht, für den Anwendungsfall Blog und den Gelegenheitsanwender. Also ich bin dankbar für die Arbeit, die da geleistet wird.

  6. Ah, vielen Dank für den Hinweis.
    Vielleicht ist das der Grund, warum Google (!) mich per Email informiert, dass ich meinen Blog auf die neueste Version updaten soll. Fand ich auf jeden Fall befremdlich…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.