WordPress-Nutzer aufgepasst: Social Media Widget verbreitet Spam über euer Blog
Aloha liebe WordPress-Nutzer! Setzt ihr das Social Media Widget in eurem Blog ein? Dann solltet ihr dieses unbedingt erst einmal entfernen. Die Sicherheits-Experten bei Sucuri teilen mit, dass das Widget euer Blog als Spamblog mißbraucht – sofern man die nicht aktualisierte Version 4.0 einsetzt. Das Widget wird im WordPress Plugin-Bereich mit über 900.000 Downloads angezeigt und dürfte daher relativ oft „da draussen“ vorkommen.
Der schadhafte Code soll vor knapp zwei Wochen in das Plugin gelangt sein, als es auf die Version 4.0 aktualisiert wurde. Mittlerweile wurde das Social Media Widget aus dem Plugin-Bereich entfernt. Technische Details zum Plugin und zur genutzten Spam-Methode findet ihr im Blog von Sucuri. Also: checken, ob ihr oder Bekannte dieses Plugin einsetzt. (danke Nico!)
Welches denn genau? Ist es das Widget von Blink Web Effects??
Bei den 5000 socialmedia widgets wäre es schön zu wissen welches plugin gemeint ist. Kannst du den link posten?
Schade, das PlugIn war gut … allerdings auch nichts, was man nicht auch selber machen könnte.
@über mir: „Social Media Widget“ von „Blink Web Effects“ (WordPress-Username: bmwebproperties).
Hier die Readme vom Plugin:
http://plugins.trac.wordpress.org/browser/social-media-widget/trunk/readme.txt?rev=691839
Die ehemalige Plugin-Seite im Google-Cache:
http://webcache.googleusercontent.com/search?q=cache:wordpress.org/extend/plugins/social-media-widget/
Okay, wie ich dachte. Danke, Christian!
Setze es tatsächlich in zwei Blogs in aktuellster Version (4.0.1) ein, kann aber nach dem angegebenen Check keine Infektion feststellen.
Das hier ist es? Plugin URI: http://wordpress.org/extend/plugins/social-media-widget/
Kenne ich nicht nutze ich auch nicht
Also kann ich davon ausgehen dass in Version 3.3 noch alles in Ordnung war?
@Enrico
Ja, in Version 3.3 soll es nicht vorkommen. Wir nutzen das Plugin „Social Profiles Sidebar Widget“ auf einigen Blogs.
Ist denn die 4.0.1. nicht wieder sicher?
Ja, Plugin ist nun wieder verfügbar, und das Update behebt das Problem angeblich. Anscheinend war ich mit meinen Updates ausnahmsweise mal schneller als der Schädling. 😉
Ich hatte das gestern schon bei Monika gelesen und als ich nachschaute war schon das Update da – also warum die Aufregung? Wer die Plugins immer auf dem Laufenden hält ist doch gut dabei – wer nicht der nicht 😉
Hi zusammen,
habe gerade gesehen, dass nun Version 4.0.2 zum Update bereitsteht. Laut ChangeLog scheint es nun gefixt zu sein, oder?
„Removed malicious code injecting spam“
http://wordpress.org/extend/plugins/social-media-widget/changelog/
Grüße
Da hat es sich doch ausgezahlt, dass ich faul bin und das Plugin noch nicht nicht auf den (ehemals) aktuellen Stand mit Spamcode gebracht habe ;-).
@Johannes: Wir war das mit dem frühen Vogel? 😉
@Alex,
in der aktuellen Version schreibt der Entwickler:
„Our sincere apologies to the entire WordPress community for allowing the spam injection to infiltrate your websites. We trusted the wrong people with our plugin code and it will not happen again.“