Kleiner Hinweis für WordPress-Nutzer: Aktuell ist ein WordPress-Plugin aufgefallen, welches Spam im WordPress-Blog einfügt, welcher nur von Suchmachinen gesehen werden kann.
Anzeige
Man lernt doch nie aus. Bei WordPress lassen sich Plugins für Funktionserweiterungen installieren. Einige Plugins werden dabei über das WordPress-Repository angeboten, die Dinger sollten also vertrauenswürdig sein.
Die Sicherheitsforscher von WordFence sind nun durch Zufall auf ein Plugin gestoßen, welches über das WordPress-Repository verteilt wurde und es in sich hat. Ein Benutzer hatte den Eindruck dass er mit seinem WordPress-Auftritt gehackt worden sei und gab WordFence den Auftrag, die Installation zu säubern. Grund: Der Benutzer bemerkte Spam-Links (z.B. für Gehaltsdarlehen, Payday Loans), die in die WordPress-Seiten injiziert wurden. Hier die Kommunikation des Dienstleisters, der sich an WordFence wandte:
We look after a clients website [website removed] and believe that has been compromised.
Specifically, the issue is that when google or bing's search bots crawl the site, they see some text injected into the top of the homepage. I have been using a user agent switcher to verify it's presence but it was first spotted when we did a pagespeed test here: [removed] and it showed in their 'preview' screengrab on the desktop view.
This text seems isn't always present and when it is there it's only on the home url (not actually the page eg. if you visit [page removed] it doesn't appear).
Die Analyse der WordPress-Seiten ergab, dass dort wirklich Spam der Art wie in folgendem Text dokumentier zu finden war:
Make Ends Meet With Payday Loans
It is often very easy to face any financial emergency if you have adequate money to pay for them. But, this can seem all too impossible if you often live from one paycheck to another. How will you be able to pay for your urgent financial emergencies? Most often than not, you can't. Face the reality, when your job is unable to pay for your financial emergencies, it is best to turn to payday loan providers out there….
Bei solchen Einträgen, die sich an Suchmaschinen richten, hätte ich auch unweigerlich gedacht, dass die WordPress-Installation gehackt worden ist. Aber der Feind sitzt im Inneren. Bei der Analyse der Site stellten die Sicherheitsspezialisten von WordFence fest, dass dieser Spam durch ein Plugin 404 to 301 erzeugt wurde. Das Plugin hatte 70.000 Installationen und bekam eine Bewertung von 4,5 Sternen von 56 Nutzern. WordFence hat die Maintainer des WordPress plugin repository kontaktiert, so dass das Plugin entfernt werden dürfte. Details sind in diesem WordFence-Blog-Beitrag zu finden.
2015
Der Programmierer versucht sich ja schon zu erklären, aber klar, das Vertrauen dürfte weg sein ;-)
"Really sorry for the trouble. Please don't be panic about WordFense article. I have rectified the issues and removed the spammy piece of code from the plugin. Please update the plugins and you are safe to use.
It was done by my partner developer and I will make sure that only I have the committing permission in feature. I accept that it was my mistake, allowing other developers to commit to my plugin from same user account.
NB : I have added my explanation comments in WordFense article and they deleted it. They just want people to be panic."
https://wordpress.org/support/topic/code-insertion-1#post-
Wer einen WP-Blog betreibt und weiß, wie ausgefeilt die Spammer vorgehen, der dürfte einen weiten Bogen um dieses Plugin und den Entwickler machen. Gerade mal nachgeschaut: "204.262 spam comments were blocked by .." und ich fische noch manuell Kommentar-Spam raus.
Hast du vollkommen Recht. Der Typ versucht nun eben die Schuld auf seinen Partner zu schieben.