Hand-Drawn-Wordpress-256

Einfaches Tutorial für WordPress bei Square7

Heute möchte ich mal den Augenmerk der Besucher auf meinen Do it yourself Bereich lenken.

Ich habe dort ein paar recht einfach beschriebene Tipps mit Schwerpunkt auf den Umgang mit WordPress hinterlegt und hoffe damit gerade Anfängern ein wenig unter die Arme greifen zu können, da ich aus eigener Erfahrung weiß, dass alle Anfang schwer ist und man sich das Wissen teilweise sehr umständlich über Suchmaschinen aneignen muss. Doch dazu muss man auch wissen, wonach man suchen soll und das ist dann um so schwieriger, wenn man diverse Fachbegriffe gar nicht kennt. Das neueste Tutorial dort, beinhaltet Tipps für die Installation von WordPress beim Schweizer Kostenlos Hoster Square7.

Allerdings muss ich auch dazu sagen, dass die Tipps alle unverbindlich sind und die Umsetzung der selbigen auf eigene Gefahr erfolgt. 

Viel Spaß beim Stöbern.

tim

Plugins und Sicherheitslücken

Vor kurzem waren diverse Plugins wie zum Beispiel Mailpoet dafür verantwortlich, dass Blogs sich reihenweise zur Spam- und Virenschleuder umfunktionieren ließen.

Doch wie sieht das mit alten Plugins aus?

Als Webmaster werfe ich schon mal ein Blick in diverse Logs, um zu schauen ob alles gerade läuft, doch ein Eintrag machte mich da stutzig und da bin ich mal auf Ursachenforschung gegangen.

Es handelt sich um das Plugin Special Textboxes (STB5) und folgende Datei wurde versucht aufzurufen.

wp-content/plugins/wp-special-textboxes/stb-uploader.php

Der Zugriff kam laut IP aus Russland, was an für sich kein Problem darstellt, da ich auf der betroffenen Seite generell aus Spamschutzgründen den Zugriff für einige Länder gesperrt habe und das Thema der Webseite auch nur für den Deutschsprachigen Raum interessant ist.

Das Plugin scheint noch aus dem Jahr 2013 und mittlerweile sind auch schon Einträge in den Foren bei wordpress.org zu lesen, welche eine Sicherheitslücke in oben genannter Datei bestätigen zu scheinen. Das Plugin selber wird zum Download nicht mehr bereit gestellt. Wenn man auf die Link Description, Installation, oder Screenshoots klickt, kommt eine entsprechende Meldung, dass nichts gefunden wurde.

Die stb-uploader.php scheint eine gravierende Sicherheitslücke aufzuweisen, welche es dem Angreifer ermöglicht Dateien in die WordPress Installation hochzuladen.

Also immer mal besser prüfen, ob zu verwendende Plugins schon mal auffällig geworden sind.

Edit: Scheinbar ist das Plugin im Downloadbereich von wordpress.org wieder verfügbar. Letztes Update Datum ist 14.10.2014.