Zum Inhalt springen

Archiv für "blogsecurity.net"

WordPress Hackereien

In letzter Zeit fallen mir immer mehr WP-Blogs auf, die als Spam-Link-Schleudern missbraucht werden, zuletzt hatte es Jojos Beetlebum erwischt. Aber auch das Law-Blog und andere wurden schon attackiert.

Dabei gelingt es dem Angreifer, Inhalte an das Blog oder an einen Beitrag anzuhängen, durch Einsatz von CSS-Attributen werden diese Inhalte aber "versteckt", so dass sie für den normalen Besucher der Seite nicht zu sehen sind. Ein Feedreader oder ein Blick in den Quellcode zeigt die eingeschmuggelten Inhalte.

Jetzt fragt man sich, na, wo ist denn der Zweck von Links, die niemand sieht? Die wird ja auch niemand klicken, nicht ...

WordPress Security

WordPress ist mittlerweile eines der am häufigsten eingesetzten Blog-Systeme, was nicht zuletzt daran liegt, dass es auch für webtechnisch eher ungeübte Anwender sehr einfach zu installieren und zu bedienen ist. Ausserdem ist es durch die Plugin-Architektur extrem erweiterbar und lässt sich so für fast jedes Webseiten-Projekt verwenden. Mit der zunehmenden Beliebtheit des Systems rückt es aber auch naturgemäss in das Blickfeld von Leuten, die sich mal ganz gerne Zugang zum Server verschaffen möchten.

Die Vielzahl von Plugins vervielfachen dabei die Chancen, eine Sicherheitslücke aufzureissen. Hinzu kommt auch noch, dass die "offiziellen" WordPress-Entwickler nicht gerade sehr gesprächig ...