Der WordPress Alp-Traum
Alp Uckan muss einen Traum gehabt haben, wahrscheinlich war es ein Alp-Traum. Wie sonst ist es zu erklären, dass er noch gerade rechtzeitig die Kurve gekratzt hat (indem er die Blog-Engine ausgetauscht hat), kurz bevor der WordPress Alptraum wahr wurde.
Krasse Geschichte, gerade noch wurde auf Probleme in WordPress 2.1.1 hingewiesen, da ist auch schon das Worst Case Szenario eingetreten. Leider auch noch gänzlich anders als erwartet. Es gelang einem Hacker die auf dem WordPress-Server zum Download angebotene WP 2.1.1 Datei zu infizieren, so dass alle WordPress Upgrade Fans, die sich in den letzten Tagen auf dem Server bei der 2.1.1-Version bedient haben, nun wahrscheinlich so richtig bedient sind. Faktisch lag WP 2.1.1 für vier Tage als Trojaner zum Download bereit, ein echter Alptraum für die betroffenen User und erst recht für das WordPress-Team.
Es wird dringlich geraten von der Version 2.1.1 auf 2.1.2 upzugraden, die entsprechende Datei liegt auch schon zum Download bereit. Glücklicherweise wurde nur die amerikanische WordPress Seite kompromitiert, die deutsche Webseite blieb unbehelligt. Insofern dürfte sich der Alptraum vor allem im englischsprachigen Raum abgespielt haben. Noch mal Schwein gehabt :)
3. März 2007 
März 3rd, 2007 at 10:18
Angriff auf WordPress-Installationspaket
Wer in den letzten Tagen die WordPress-Version 2.1.1 von wordpress.org heruntergeladen hat, tut gut daran raschm
März 3rd, 2007 at 10:49
[...] der GAU – infizierte Originaldateien: DRINGEND WordPress 2.11 UPDATEN!!!! von Robert Basic, 03.03.2007 10:59 Gerald: Es gelang einem Hacker die auf dem WordPress-Server zum Download angebotene WP 2.1.1 Datei zu infizieren, so dass alle WordPress Upgrade Fans, die sich in den letzten Tagen auf dem Server bei der 2.1.1-Version bedient haben, nun wahrscheinlich so richtig bedient sind. Faktisch lag WP 2.1.1 für vier Tage als Trojaner zum Download bereit, ein echter Alptraum für die betroffenen User und erst recht für das WordPress-Team. [...]
März 3rd, 2007 at 10:54
Der richtige Zeitpunkt, endlich auf S9Y umzusteigen :-)
März 3rd, 2007 at 11:30
[...] (via S-O-S SEO Blog) [...]
März 3rd, 2007 at 12:21
[...] s.a. http://www.suchmaschinen-optimierung-seo.info/[…]alp-traum/ [...]
März 3rd, 2007 at 14:07
Hab schon längt keinen Nerv mehr mit WordPress. Das ist doch wahnwitzig. Wer mehr als ein WP betreut hat kann doch Upgrader als Vollzeit-Job angeben.
März 3rd, 2007 at 15:04
[...] Gerald: Es gelang einem Hacker die auf dem WordPress-Server zum Download angebotene WP 2.1.1 Datei zu infizieren, so dass alle WordPress Upgrade Fans, die sich in den letzten Tagen auf dem Server bei der 2.1.1-Version bedient haben, nun wahrscheinlich so richtig bedient sind. Faktisch lag WP 2.1.1 für vier Tage als Trojaner zum Download bereit, ein echter Alptraum für die betroffenen User und erst recht für das WordPress-Team. Das ist kein Joke, siehe auch WordPress.de [...]
März 3rd, 2007 at 15:11
Wider dem Mainstream erhöht die Sicherheit
Als ich mich kürzlich aufraffte mir ein blog zu aufzusetzen, stellte sich auch mir die Frage, welche Software es denn sein sollte. Schnelles herumschauen im Freundeskreis zeigte zwei potentielle Kandidaten:wordpressserendipityZuallererst hatte ich dan…
März 3rd, 2007 at 16:14
Ich war wegen der vielen Anpassungen mit einer bisherigen WP 1.5 Version nachlässig. Bis zahlreiche unzustellbare E-Mails im Catch-All-Account aufschlugen – Absender der Spammails: Meine verwaltete WordPress-Seite. :-0
Nicht zu spaßen mit den Updates!
März 4th, 2007 at 03:01
Was für ein Glück, dass ich noch mit der 2.0er rumhantiere. Aber mit Updates sollte man sich generell etwas Zeit lassen. Auch bei phpBB ist immer Vorsicht angesagt.
@Robert Hartl: Etwas ähnliches ist mir letztens auch passiert. Lag aber nicht an WordPress, sondern an einem (veralteten, nicht mehr aktivierten) Subscribe to Comments Plugin. Der darin enthaltene Mailverteiler war schuld. Was lernt uns das: Plugins, die nicht mehr benutzt werden, einfach deinstallieren… Zu komplex das ganze Spiel. :-(
Juli 25th, 2007 at 12:45
Seit doch Glücklich über die vielen Update’s.. Würde nix passieren, würdet ihr auch nicht zufrieden sein..
September 2nd, 2007 at 21:00
Das Problem gab es auch schon öfter bei Debian-Package-Servern. Wirklich übel wenn man täglich Updates fährt und man dann erfährt, dass die Server gehackt wurden. Wie kann man sich dann noch sicher sein, dass man nicht infiziert wurde. Da kann man eigentlich nur neu aufsetzen.
Ähnlich ist es hier bei WordPress. Man kann eigentlich nur alle Files entsorgen und mit der der Datenbank ein neues WP aufsetzen. Und man sollte neue Passwörter anlegen, einmal für WP und auch für die WP-Datenbank.
September 25th, 2007 at 15:05
Ich hatte auch mit einer Webseite ein Problem. Bin jetzt dabei WordPress nach und nach von den anderen Domains zu entfernen und durch ein anderes Systen zu ersetzen. Die Frage ist letztendlich, welches System ist wirklich sicher. Durch die ständigen Updates kommen immer wieder neue Sicherheitslücken. Und ehrlich gesagt sich alle 4 Wochne neue Passwörter zuzulegen macht auch keinen Spass. Ich denke in der Realität macht dies sowieso keiner.
September 14th, 2010 at 10:01
Schon etwas älter der Artikel, dennoch immer noch denkbar, was alles schief gehen kann. Viele Grüße, Daniel