Vorsicht beim Upload von unbekannten oder veralteten Plugins – es verstecken sich oftmals manchmal Spamlinks oder Schlimmeres im Code. Nehmt bitte nur Plugins, die vielfach empfohlen werden, möglichst von bewährten Programmierern. Denn, die Plugins im offiziellen WordPress-Verzeichnis werden nicht groß kontrolliert, das ist eher eine große Community-Testwiese.
Ältere Plugins bleiben nicht zwangsläufig kompatibel zu Folgeversionen von WordPresss und sind manchmal untereinander nicht kompatibel. Fazit: Je weniger externe Plugins, desto besser …
Anlass für dieses Posting ist der aktueller Fall „Social Media Widget“, über den dankenswerterweise texto.de berichtet hat. Eine bestimmte Version des Plugins installierte Spam-Links auf der Website. Besonders krass ist diese Malware-Falle, weil das – inzwischen gelöschte – Plugin im WordPress Verzeichnis über 900.000 Downloads verzeichnete und gut bewertet wurde. Zum Glück hatte ich es bei keinem meiner Kunden installiert *schwitz
heise.de schreibt gestern dazu: „Das Vorgehen von WordPress lobte das Unternehmen, allerdings wies es auch darauf hin, dass dies vielleicht nur ein erster Test für einen neuen Angriffsvektor war.“
Dies ist leider schon der zweite Malware-Fall, der mir in diesem Jahr unterkommt. Je weiter sich WordPress ausbreitet (weltweit werden bereits ein großer Teil der Websites damit gebaut), desto akuter werden Fragen der Absicherung gegen skrupellose Web-Zerstörer.