Kleine Info für Blogger: Wie gestern bekannt wurde, könnte bei den häufig geladenen WordPress Plugins AddThis, WPtouch und W3 Total Cache Code manipuliert worden sein.

Das WordPress Team stellte fest, dass diese Änderungen wohl nicht von den Entwicklern der Plugins verusacht wurden, setzte die Plugins auf eine frühere Version zurück und gab sie wieder zum Update frei.

Wer also einen selbst gehosteten WordPress Blog besitzt und eins der besagten Plugins in den letzten Tagen aktualisiert hat, sollte diese schnellstens erneut aktualisieren oder löschen und neu über das Plugin Directory laden.

Soeben ist ein Update für das Blogging-System WordPress erschienen, welches laut dem WordPress.org Blog einige Sicherheitslücken schließt.

Unter anderem wurde auch eine Denial-of-Service Trackback Exploit geschlossen, die es angreifern ermöglichte, einen beliebigen WordPress Blog leicht lahm zu legen. Peer Wandiger hat auf BlogProjekt einen Artikel dazu verfasst.

WordPress empfiehlt allen Seiten das Update zu installieren.

Im November wird es wahrscheinlich schon die WordPress Version 2.9 zu laden geben, die nicht nur Sicherheitsupdates mit sich bringen wird.

Zugegeben: Eine WordPress Aktualisierung, kann sehr zeitaufwendig sein, besonders wenn von einer alten WordPress Version geupgradet wird.

Doch spätestens heute, sollten sich auch diejenigen um ein WordPress Upgrade kümmern, die sich bisher davor gedrückt haben! Ein neuer, gefährlicher Wurm macht die Runde!

HIER
Gibt es die offizielle, aktuelle, deutschsprachige WordPress Version (2.8.4).
In den neueren WP Versionen kann ein Upgrade auch direkt aus dem Adminbereich eures Blogs durchgeführt werden.

neuer  WordPress Wurm: Direkter Datenbankzugriff mit Vollzugriff

Der neue Wurm ermöglicht es Angreifern, einen Administratoraccount anzulegen; somit haben diese kompletten Zugriff auf die WordPress Datenbank und können den Inhalt eures Blog beliebig verändern oder gar löschen.

Matt Mullenweg schreibt im WordPress Blog

2.8.4, the current version of WordPress, is immune to this worm. (So was the release before this one.) If you’ve been thinking about upgrading but haven’t gotten around to it yet, now would be a really good time. If you’ve already upgraded your blogs, maybe check out the blogs of your friends or that you read and see if they need any help.

frei übersetzt

Die aktuelle Version von WordPress 2.8.4. ist immun gegen den [neuen] Wurm. (Genau wie das Release zuvor) Wenn du über ein Upgrade nachgedacht hast und dich bisher davor gedrückt hast, wäre jetzt eine ziemlich gute Zeit dafür. Wenn du auf deinen Blogs bereits ein Upgrade durchgeführt hast, schaust du vielleicht mal, ob deine Freunde dies auch gemacht haben und ob sie vielleicht etwas Hilfe gebrauchen können.

Ist dein Blog Bereits infiziert?

Anzeichen, dass dein Blog bereits “infiziert” wurde, sind laut lorelle Veränderungen in der WP Permalink Struktur wie

deineblogurl.tld/kategorie/artikel-name/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/.
Die Keywords sind “eval” and “base64_decode.”

und ein neuer Administrator Account (unter deineblogurl.tld/wp-admin/users.php?role=administrator).

Betroffenen Blogs hilft momentan nur eine komplette Neuinstallation, indem alle Einträge und Kommentare über Werkzeuge – Daten Exportieren exportiert und in einer WordPress Neuinstallation wieder eingespielt werden.

Helft euren Blogger-Freunden:
WordPress Version anderer WordPress-Blogs überprüfen

Ich weiß, viele BlogGezwitscher.de Besucher, kennen sich recht gut auf diesem Gebiet aus.

Vorschlag: 5 Blogs überprüfen und Inhaber kontaktieren

Mein Vorschlag wäre, die WordPress Version der ersten 5 Blogs zu prüfen, die euch gerade in den Kopf kommen. Die installierte Version eines beliebigen WordPress Blogs anzuzeigen, geht sehr schnell über den Aufruf von readme.html, die sich i.d.R. im root Verzeichnis eines WP Blogs befindet.

http://www.adresse-des-zu-überprüfenden-blogs.de/readme.html

Kontaktiert den betreffenden Blogbesitzer einfach via Kontaktformular oder E-Mail. Wenn gar keine andere Möglichkeit besteht, vielleicht sogar per Kommentar.

In letzter Zeit tummeln sich wieder massiv Spam-Bots auf selbst gehosteten WordPress Blogs. Nur wer unter Einstellungen – Allgemein – Mitgliedschaft das Häkchen bei “Jeder kann sich registrieren” aktiviert hat, kann von dieser Art von Spambot heimgesucht werden.

Anscheinend registrieren sich die Bots immer mit den gleichen E-Mail Adressen und Benutzernamen

Andianq – obierebelominepyb@gmail.com
MikeWink – bugbeemershonyhe@gmail.com
Miriam - obierebelominepyb@gmail.com
jaimelipani – jonatanwebsterbaum@gmail.com

Mit der neusten WordPress Version ist die Registrierung an sich, meines Wissens nach, sicherheitstechnisch nicht kritisch. Solltest du aber eine ältere WordPress Version nutzen, empfehle ich schnellstens die Accounts der Spambenutzer zu löschen und dein eigenes Admin-Passwort zu ändern.

Abhilfe via Plugin “Confirm User Registration”

Wessen Blog keine Neuregistrierung von Benutzern erfordert, sollte einfach die Registrierungsmöglichkeit über Allgemein – Mitgliedschaft deaktivieren.

Wer aber auf die WordPress Benutzerregistrierung nicht verzichten kann, sollte eventuell das Plugin Confirm User Registration in Erwägung ziehen, welches eine Admin-Bestätigung jeder registrierten WordPress Neuanmeldung verlangt.