Gerade las ich bei "Der Informatik Student", dass ein Cracker sich Zugang zum WordPress-Server verschaffte und dort eine modifizierte WordPress-Version platzierte in die er eine Sicherheitslücke eingebaut hat. Das war ziemlich sicher die Version, die ich kürzlich erst installierte. Da ich ziemlich genau eine Woche lang nicht online war, kann ich nur von Glück reden, dass es unsere vier Blogs nicht erwischt hat… Das schafft nicht gerade Vertrauen in die Qualitätssicherung. Außerdem hatte ich für die letzte Stunde eigentlich etwas anderes vor als ein Update zu installieren…
Bei wordpress-deutschland.org steht auch in der deutschen Übersetzung, was passierte. Hier ein Ausschnitt, den ich sehr lehrreich finde:
Die ausführliche Fassung: Heute morgen erhielten wir eine Mitteilung an unsere Mailadress für Sicherheitsbelange, in der von ungewöhnlichem und höchst angreifbarem Code in WordPress berichtet wurde. Wir haben die Angelegenheit untersucht und es stellte sich heraus, das der Download der Version 2.1.1 modifiziert und der Originalcode ersetzt worden ist. Wir haben die Website sofort heruntergefahren, um zu untersuchen was passiert ist.
Es wurde festgestellt, das sich ein Cracker Zugriff auf einen der “wordpress.org”-Server verschafft hatte und diesen Zugriff dazu benutzt hat die Downloaddatei zu verändern. Der betroffene Server wurde für weitere Untersuchungen heruntergefahren und es stellte sich heraus, daß die Downloaddatei der Version 2.1.1 (als einzige) von diesem Angriff betroffen war. Es wurden zwei WP-Dateien dahingehend verändert, daß sie Code enthielten, der die externe Ausführung von PHP-Code ermöglicht.
Dies ist die Art von Sachen die wir alle nicht erleben möchten, aber es ist passiert und jetzt wollen wir so gut wie möglich damit umgehen.
Immerhin wurde hier recht vorbildlich informiert. Bei so einer peinlichen Sache hätten die meisten Firmen wohl versucht zu vertuschen. Zum Glück ist das keine Firma, sondern ein freies Team…
Jetzt fragt man sich natürlich, ob das nicht bei anderer Software auch schon passiert ist, aber keine hat es bemerkt.