Der WordPress Alp-Traum

Alp Uckan muss einen Traum gehabt haben, wahrscheinlich war es ein Alp-Traum. Wie sonst ist es zu erklären, dass er noch gerade rechtzeitig die Kurve gekratzt hat (indem er die Blog-Engine ausgetauscht hat), kurz bevor der WordPress Alptraum wahr wurde.

Krasse Geschichte, gerade noch wurde auf Probleme in WordPress 2.1.1 hingewiesen, da ist auch schon das Worst Case Szenario eingetreten. Leider auch noch gänzlich anders als erwartet. Es gelang einem Hacker die auf dem WordPress-Server zum Download angebotene WP 2.1.1 Datei zu infizieren, so dass alle WordPress Upgrade Fans, die sich in den letzten Tagen auf dem Server bei der 2.1.1-Version bedient haben, nun wahrscheinlich so richtig bedient sind. Faktisch lag WP 2.1.1 für vier Tage als Trojaner zum Download bereit, ein echter Alptraum für die betroffenen User und erst recht für das WordPress-Team.

Es wird dringlich geraten von der Version 2.1.1 auf 2.1.2 upzugraden, die entsprechende Datei liegt auch schon zum Download bereit. Glücklicherweise wurde nur die amerikanische WordPress Seite kompromitiert, die deutsche Webseite blieb unbehelligt. Insofern dürfte sich der Alptraum vor allem im englischsprachigen Raum abgespielt haben. Noch mal Schwein gehabt :)

14 Gedanken zu “Der WordPress Alp-Traum”

  1. Pingback: BloggingTom
  2. Pingback: gramels blog
  3. Ich war wegen der vielen Anpassungen mit einer bisherigen WP 1.5 Version nachlässig. Bis zahlreiche unzustellbare E-Mails im Catch-All-Account aufschlugen – Absender der Spammails: Meine verwaltete WordPress-Seite. :-0

    Nicht zu spaßen mit den Updates!

  4. Was für ein Glück, dass ich noch mit der 2.0er rumhantiere. Aber mit Updates sollte man sich generell etwas Zeit lassen. Auch bei phpBB ist immer Vorsicht angesagt.

    @Robert Hartl: Etwas ähnliches ist mir letztens auch passiert. Lag aber nicht an WordPress, sondern an einem (veralteten, nicht mehr aktivierten) Subscribe to Comments Plugin. Der darin enthaltene Mailverteiler war schuld. Was lernt uns das: Plugins, die nicht mehr benutzt werden, einfach deinstallieren… Zu komplex das ganze Spiel. :-(

  5. Das Problem gab es auch schon öfter bei Debian-Package-Servern. Wirklich übel wenn man täglich Updates fährt und man dann erfährt, dass die Server gehackt wurden. Wie kann man sich dann noch sicher sein, dass man nicht infiziert wurde. Da kann man eigentlich nur neu aufsetzen.

    Ähnlich ist es hier bei WordPress. Man kann eigentlich nur alle Files entsorgen und mit der der Datenbank ein neues WP aufsetzen. Und man sollte neue Passwörter anlegen, einmal für WP und auch für die WP-Datenbank.

  6. Ich hatte auch mit einer Webseite ein Problem. Bin jetzt dabei WordPress nach und nach von den anderen Domains zu entfernen und durch ein anderes Systen zu ersetzen. Die Frage ist letztendlich, welches System ist wirklich sicher. Durch die ständigen Updates kommen immer wieder neue Sicherheitslücken. Und ehrlich gesagt sich alle 4 Wochne neue Passwörter zuzulegen macht auch keinen Spass. Ich denke in der Realität macht dies sowieso keiner.

Schreibe einen Kommentar