MrMacTVs Blog - Tratsch und Knatsch - Der Blick über den TellerrandDARKandLONG.de - Das Infoblog zu Underworld [Band]kreuznach-blog.de - Das Stadtblog für Bad KreuznachKREUZNACH blog VideosKREUZNACH blog FOTOS

Angst in WordPresshausen

25. März 2008 @ 22:26 Uhr - Comments (8)
Schlagwörter:,


Die Angst geht in WordPresshausen um. Angst? Es lungern schwarze Gestalten vor jeder WordPressinstalltion. In den letzten Tagen wurden mehrere WP-Blogs gehackt:

- phpperformance.de
- fridaynite.de
- off-the-record.de
- klickertrigger.de

In den meisten Fällen, werden ältere Beiträge (nicht Kommentare) durch ein noch unbekanntes Sicherheitsloch mit massig Spamlinks verseucht.


Bild von phpperformance.de

Das bringt den Blogger in folgende Bredouille (Schwierigkeit):

  • Er merkt das nicht, wenn ein eigener Beitrag verändert wurde
  • Es werden unsichtbare Links im Footer abgelegt, diese Links werden aber von Google gelesen
  • Es werden Ordner mit verschiedenen HTML Spam Links angelegt

Und damit nicht genug: Durch diese ganzen Spam-Links wird man bei Google direkt abgestraft, fliegt aus dem Ranking und bekommt als Bonus diese Sperre.

Das Schlimme an der ganzen Geschichte ist, die meisten Blogs liefen unter der neusten Version 2.3.3. Ob es nun an irgendwelchen Plugins oder ob es noch eine sehr große Sicherheitslücke ist noch nicht bekannt. Zurzeit warten alle auf die neuste WordPress Version 2.5. Die Version sollte eigentlich am 10. März bzw. 17. März 2008 erscheinen. Aber anscheint wird noch einiges gefixt. Schon seit längeren wird über die Sicherheitspolitik bei WordPress gesprochen. Es werden immer mehr Schönheitsfeatures eingebaut, anstatt mal was effektiv gegen die ganzen Spam-, und Hackattacken was zu programmieren.

Mehr zum dem Thema und einige Lösungsansätze:
spam.weltretter.de & neun12.de & forum.wordpress-deutschland.org & talkpress.de und seo-marketing-blog.de

WordPress sicherer machen: wordpress-buch.bueltge.de

Der Tip ist auch nicht schlecht:

Empfehlenswert könnte auch sein, einen Google-Alert für die eigene Website einzurichten, der bei “ungewöhnlichen” Inhalten wie “site:example.com porn” anspringt.

via talkpress.de

Gibt es noch kein Sicherheits Plugin mit dem man seine Datenbank auf diese Unsichtbaren Links durchsuchen kann?



8 Feedbacks auf “Angst in WordPresshausen”

  1. Mr. MacTV's Blog » Wie Google zensiert? meint,
    am März 25th, 2008 @ 22:52 Uhr

    [...] aber auch normale Webseiten als Gefährlich eingestuft werden, wenn diese zum Beispiel gehackt wurden und dabei Spam verbreiten. So ist zum Beispiel letztes Jahr der werbeblogger.de aus dem [...]

  2. [Wordpress] Hackangriffe im 03-08 - Webmaster Forum meint,
    am März 25th, 2008 @ 23:13 Uhr

    [...] schon meckert, das es zur zeit keine neuen Beiträge gibt: Mehrere WordPress Blog wurde in den letzten Tagen gehackt. Das besondere, fast alle hatten die aktuellste Version 2.3.3 installiert. Ob nun eine [...]

  3. Elias meint,
    am März 26th, 2008 @ 04:27 Uhr

    Was ich an dieser Geschichte sehr erstaunlich finde, ist die Tatsache, dass ein derart klaffendes Sicherheitsloch nicht zum einem Ticket im Trac führt, obwohl es auch im englischen Support-Forum angekommen ist. Aber was für einen wortkargen und bewusst kryptischen Stil die da beim Austausch über das Problem pflegen! Immerhin, so viel geht hervor: Irgendwie sind die Cracker an das Passwort gekommen.

    Nehmen wir einmal an, es handelt sich um einen Fehler im WP-Kernsystem (das ist nicht sicher, es kann auch ein Plugin oder sogar ein Passwortklau mit Hilfe eines Windows-Trojaners sein). Denn gibt es nur zwei Möglichkeiten:

    Entweder versuchen die WP-Entwickler, dieses Scheunentor zu verbergen, indem sie die Kommunikation nach außen unterdrücken. Das erklärte auch, weshalb es bei der Veröffentlichung der 2.5 die schlecht kommunizierten Verzögerungen gegeben hat. Aber es wäre ein verdammt schlechter Open-Source-Stil, wenn man versucht, “Sicherheit” durch Verschleiern zu erzeugen.

    Oder aber — und das ist vielleicht noch schlimmer — die wissen noch gar nichts davon und der ziemlich schreckliche Fehler bleibt uns auch in der Version 2.5 erhalten.

    Ich hoffe wirklich, dass es sich “nur” um ein Problem mit angreifbaren Plugins und nicht um einen schweren Fehler im Kern handelt. Sonst werde ich noch richtig trübsinnig über diese Geschichte…

    AntwortenAntworten
  4. MacTV meint,
    am März 26th, 2008 @ 09:16 Uhr

    Ich finde das Verhalten ganz ganz mies. So geht das ja nicht. In der großen WordPress-Szene gibt es so viele Top Programmierer …

    AntwortenAntworten
  5. Frank about Malware meint,
    am März 27th, 2008 @ 10:54 Uhr

    Na da bin ich ja auch mal auf Statements von WordPress zu der WP 2.3.3 Sicherheitslücke gespannt – kannte gehackte WordPress Systeme bisher nur bei älteren Versionen wie 2.07 – siehe mein verlinkter Artikel dazu …

    AntwortenAntworten
  6. MacTV meint,
    am März 27th, 2008 @ 12:42 Uhr

    Ach … da wird nicht viel kommen:

    Bei 2.5 kommt eine Liste mit:

    431 new features
    22 bugfixes
    55 security fixes

    Die werden doch nie und nimmer sagen, wo ein Loch war. Das wäre der Tot für tausende WordPress Installationen.

    AntwortenAntworten
  7. mario meint,
    am August 24th, 2008 @ 12:47 Uhr

    You have super a blog!!! Mach further so You can write on my new side times a comment like you it find! Me would make happy…. until then and much fun still:)

    AntwortenAntworten
  8. Wein kaufen meint,
    am Januar 23rd, 2009 @ 13:28 Uhr

    Ich sage dazu nur: Wo ein Wille ist, ist auch ein Weg. Soll heißen, es wird immer neue Wege geben ungewollten Content irgendemanden unter zu jubeln.

    AntwortenAntworten

Gib Deinen Senf dazu!





:) :( :d :"> :(( \:d/ :x 8-| /:) :o :-? :-" :-w ;) [-( :)>- more »

Achtung Spam-Protection: Es kann sein, dass der Beitrag aufgrund eines Spamverdacht nicht sofort erscheint. Deshalb: Bitte warten !

Additional comments powered by BackType