Angriff auf WordPress-Installationspaket

Wer in den letzten Tagen die WordPress-Version 2.1.1 von wordpress.org heruntergeladen hat, tut gut daran raschmöglichst auf die neue Version 2.1.2 upzudaten:

Es wurde festgestellt, das sich ein Cracker Zugriff auf einen der “wordpress.org”-Server verschafft hatte und diesen Zugriff dazu benutzt hat die Downloaddatei zu verändern. Der betroffene Server wurde für weitere Untersuchungen heruntergefahren und es stellte sich heraus, daß die Downloaddatei der Version 2.1.1 (als einzige) von diesem Angriff betroffen war. Es wurden zwei WP-Dateien dahingehend verändert, daß sie Code enthielten, der die externe Ausführung von PHP-Code ermöglicht.

Dieser Vorfall bringt mich gerade wieder mal zum nachdenken, denn eigentlich bewegen wir uns alle auf ziemlich dünnem Eis. Haben wir erst einmal Vertrauen zu einer Anwendung wie WordPress gefunden, installieren wir (mehr oder weniger) blind jedes Update, ohne uns eigentlich über alle (versteckten) Funktionen im Klaren zu sein. Allerdings, und das ist auch klar, wäre es auch fast unmöglich, jedes Softwarepaket so intensiv zu testen, dass ungewollte Veränderungen sofort auffallen würden.

Wichtig zu wissen ist aber, dass nur das Installationspaket von wordpress.org betroffen ist. Die Downloaddateien von wordpress-deutschland.org sind davon nicht betroffen. Trotzdem empfehlen die WordPress-Entwickler das sofortige Update auf die Version 2.1.2.

(via S-O-S SEO Blog)

2 Comments

  1. Mike Schnoor 3.03.2007
  2. Jens 3.03.2007