tim

Plugins und Sicherheitslücken

Vor kurzem waren diverse Plugins wie zum Beispiel Mailpoet dafür verantwortlich, dass Blogs sich reihenweise zur Spam- und Virenschleuder umfunktionieren ließen.

Doch wie sieht das mit alten Plugins aus?

Als Webmaster werfe ich schon mal ein Blick in diverse Logs, um zu schauen ob alles gerade läuft, doch ein Eintrag machte mich da stutzig und da bin ich mal auf Ursachenforschung gegangen.

Es handelt sich um das Plugin Special Textboxes (STB5) und folgende Datei wurde versucht aufzurufen.

wp-content/plugins/wp-special-textboxes/stb-uploader.php

Der Zugriff kam laut IP aus Russland, was an für sich kein Problem darstellt, da ich auf der betroffenen Seite generell aus Spamschutzgründen den Zugriff für einige Länder gesperrt habe und das Thema der Webseite auch nur für den Deutschsprachigen Raum interessant ist.

Das Plugin scheint noch aus dem Jahr 2013 und mittlerweile sind auch schon Einträge in den Foren bei wordpress.org zu lesen, welche eine Sicherheitslücke in oben genannter Datei bestätigen zu scheinen. Das Plugin selber wird zum Download nicht mehr bereit gestellt. Wenn man auf die Link Description, Installation, oder Screenshoots klickt, kommt eine entsprechende Meldung, dass nichts gefunden wurde.

Die stb-uploader.php scheint eine gravierende Sicherheitslücke aufzuweisen, welche es dem Angreifer ermöglicht Dateien in die WordPress Installation hochzuladen.

Also immer mal besser prüfen, ob zu verwendende Plugins schon mal auffällig geworden sind.

Edit: Scheinbar ist das Plugin im Downloadbereich von wordpress.org wieder verfügbar. Letztes Update Datum ist 14.10.2014.

community

Kein TimThumb mehr

Wie auf dem Binary Moon Blog von Ben Gillbanks zu lesen ist, stellt dieser den Support und die Weiterentwicklung von TimThumb ein. Ein nicht ganz unwichtiges Kriterium zu diesem Schritt waren die in letzter Zeit gefundenen Sicherheitslücken, welche dazu führten, dass Hacker reihenweise WordPress betriebene Blogs hacken und über diese dann Schadcode verteilen konnten. Weiterlesen

Hand-Drawn-Wordpress-256

WordPress ist nicht gleich WordPress

Im Deutschsprachigen Forum von wpde.org tauchen immer wieder Beiträge auf, die sich auf die eingesetzte Version von WordPress.com beziehen. Es wird zwar von beiden Seiten darauf hingewiesen, dass die verwendeten Umgebungen unterschiedlich sind und der eine dem anderen bei Anfragen nicht helfen kann, doch das wird in der Hektik von Hilfesuchenden gerne übersehen.

Ich habe mir mal die Mühe gemacht und versucht hier mal die Unterschiede, nebst Vorteile und Nachteile der beiden Versionen darzulegen.

Weiterlesen