No longer in directory

Das WordPress Plugin „no longer in directory“ ist no longer in directory
Ausschnitt aus dem WordPress Plugin Verzeichnis

„no longer in directory“ ist no longer in directory

Gestern hat Sicherheitsexperte Marc Nilius noch auf dem Bonner WordPress-Meetup drüber gesprochen, heute erscheint es in seinem WordPress Sicherheits Newsletter.

Plugins regelmäßig prüfen!

Eine Empfehlung zur Sicherheit von WordPress ist eine regelmäßige Prüfung auf stark veraltete oder gar zurückgezogene Plugins aus dem offiziellen WordPress Plugin-Verzeichnis (Plugins sind Programme die den Kern um Funktionen erweitern.) Um dies etwas zu vereinfachen gab es das Plugin „No longer in directory“.  Administratoren konnten mit diesem Plugin eine Prüfung durchführen.

Wie Marc jetzt feststellen musste, ist nun aber genau dieses Plugin selbst aus dem Plugin-Verzeichnis entfernt worden. Gründe sind ihm nicht bekannt, eine Kontaktaufnahme mit dem Autor verlief bisher erfolglos. Marc vermutet eine eher harmlose Ursache, nämlich das es bei Aufräumarbeiten im WordPress Plugin-Verzeichnis wegen einer nicht mehr erreichbaren E-Mail Adresse der Autoren gelöscht wurde.

Handeln und deinstallieren!

Trotzdem ist Vorsicht die Mutter der Porzellankiste und Thomas Blüm – Web & Consulting empfiehlt allen WordPress Admins dieses Plugin bis auf Weiteres umgehend zu entfernen! Bei meinen Kunden werde ich dies in den nächsten Stunden veranlassen. Als Alternative gilt „Vendy abandoned plugin check“. Bis jetzt gibt es mit diesem Plugin jedoch noch keine große Erfahrung.

Der WordPress Security Newsletter kann kostenlos unter https://www.wp-wartung24.de/newsletter/ abonniert werden.

Vorsicht mit BackUpWordPress Plugin

WordPress

Marc Nilius rät in seinem aktuellen WordPress Sicherheitsnewsletter zu Vorsicht beim Einsatz des Plugins BackUpWordPress. Anscheinend hat hier der Besitzer gewechselt.

An und für sich kein ungewöhnlicher Vorgang, aber da der neue Besitzer recht dubios erscheint und in letzter Zeit häufiger Fälle aufgetreten sind, in denen Plugins aufgekauft wurden, nur um anschließend mit neuen Versionen Schadcode auszuliefern, rät Marc vorerst von der Installation des Plugins oder dem Durchführen des aktuellen Updates ab, bis die genaueren Umstände hier geklärt sind.

Der Transparenz halber sei erwähnt, daß Marc meines Wissens unter anderem auch für den Hersteller eines anderen Backup-Produktes tätig ist. Allerdings halte ich Marc, der mir persönlich bekannt ist, für einen integren WordPress-Enthusiasten.

Den Newsletter zur WordPress-Sicherheit gibt es kostenlos unter www.wp-sicherheit.info

Warnung vor X-WP-SPAM-SHIELD-PRO

WordPress

Wer auf seiner WordPress-Seite das Plugin X-WP-SPAM-SHIELD-PRO installiert hat, sollte dieses sofort deinstallieren, die Accounts und die komplette WordPress Installation überprüfen und anschließend alle Passworte ändern – auch das Passwort der Datenbank!

Sicherheitsforscher von Sucuri haben herausgefunden: Das vermeintliche Sicherheits-Plugin, das einem existierenden Plugin namentlich ähnelt, ist Malware und richtet unter anderem einen Admin-Account und Fernzugriff für die Urheber des Zusatzmoduls ein. Damit ist der Zugriff auf die komplette Webseite bis hin zur SQL-Datenbank möglich.

Das Plugin war bisher nur über unbekannte Quellen, nicht jedoch über das offizielle Plugin-Verzeichnis von WordPress verfügbar. Von daher dürfte die Verbreitung nicht all zu hoch ausgefallen sein. Aus Sicherheitsgründen ist es ratsam, nur Plugins aus der offiziellen Quelle zu installieren und zusätzlich auf zurückgezogene Plugins zu prüfen. Hierzu gibt es zum Beispiel das Plugin „No Longer in Directory“ von White Fir Design. Das muss zwar manuell aufgerufen werden, warnt aber vor veralteten Plugins und solchen, die aus dem offiziellen Plugin-Verzeichnis entfernt wurden. Kunden von Thomas Blüm – Web & Consulting erhalten das Plugin bei WordPress-Seiten automatisch.

Webseitenbetreiber sind haftbar!

Nicht vergessen: Nach den Änderungen durch das IT-Sicherheitsgesetz kann der Betreiber einer Webseite für Nachlässigkeit haftbar gemacht werden. Für Betreiber von Webangeboten gelten nach § 13 TMG, Absatz 7 erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme.

Mehr zu diesem Thema hier: https://www.heise.de/security/meldung/Gefaktes-Sicherheits-Plugin-fuer-WordPress-im-Umlauf-3848390.html