WordPress-Nutzer aufgepasst: Social Media Widget verbreitet Spam über euer Blog

Aloha liebe WordPress-Nutzer! Setzt ihr das Social Media Widget in eurem Blog ein? Dann solltet ihr dieses unbedingt erst einmal entfernen. Die Sicherheits-Experten bei Sucuri teilen mit, dass das Widget euer Blog als Spamblog mißbraucht – sofern man die nicht aktualisierte Version 4.0 einsetzt. Das Widget wird im WordPress Plugin-Bereich mit über 900.000 Downloads angezeigt und dürfte daher relativ oft „da draussen“ vorkommen.

WordPress

Der schadhafte Code soll vor knapp zwei Wochen in das Plugin gelangt sein, als es auf die Version 4.0 aktualisiert wurde. Mittlerweile wurde das Social Media Widget aus dem Plugin-Bereich entfernt. Technische Details zum Plugin und zur genutzten Spam-Methode findet ihr im Blog von Sucuri. Also: checken, ob ihr oder Bekannte dieses Plugin einsetzt. (danke Nico!)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

16 Kommentare

  1. Welches denn genau? Ist es das Widget von Blink Web Effects??

  2. Bei den 5000 socialmedia widgets wäre es schön zu wissen welches plugin gemeint ist. Kannst du den link posten?

  3. Kabel Deutschland Partnershop says:

    Schade, das PlugIn war gut … allerdings auch nichts, was man nicht auch selber machen könnte.

  4. @über mir: „Social Media Widget“ von „Blink Web Effects“ (WordPress-Username: bmwebproperties).

    Hier die Readme vom Plugin:
    http://plugins.trac.wordpress.org/browser/social-media-widget/trunk/readme.txt?rev=691839

    Die ehemalige Plugin-Seite im Google-Cache:
    http://webcache.googleusercontent.com/search?q=cache:wordpress.org/extend/plugins/social-media-widget/

    • Okay, wie ich dachte. Danke, Christian!

      Setze es tatsächlich in zwei Blogs in aktuellster Version (4.0.1) ein, kann aber nach dem angegebenen Check keine Infektion feststellen.

  5. Das hier ist es? Plugin URI: http://wordpress.org/extend/plugins/social-media-widget/
    Kenne ich nicht nutze ich auch nicht

  6. Also kann ich davon ausgehen dass in Version 3.3 noch alles in Ordnung war?

  7. @Enrico
    Ja, in Version 3.3 soll es nicht vorkommen. Wir nutzen das Plugin „Social Profiles Sidebar Widget“ auf einigen Blogs.

  8. Ist denn die 4.0.1. nicht wieder sicher?

    • Ja, Plugin ist nun wieder verfügbar, und das Update behebt das Problem angeblich. Anscheinend war ich mit meinen Updates ausnahmsweise mal schneller als der Schädling. 😉

  9. Ich hatte das gestern schon bei Monika gelesen und als ich nachschaute war schon das Update da – also warum die Aufregung? Wer die Plugins immer auf dem Laufenden hält ist doch gut dabei – wer nicht der nicht 😉

  10. Hi zusammen,
    habe gerade gesehen, dass nun Version 4.0.2 zum Update bereitsteht. Laut ChangeLog scheint es nun gefixt zu sein, oder?

    „Removed malicious code injecting spam“

    http://wordpress.org/extend/plugins/social-media-widget/changelog/

    Grüße

  11. Da hat es sich doch ausgezahlt, dass ich faul bin und das Plugin noch nicht nicht auf den (ehemals) aktuellen Stand mit Spamcode gebracht habe ;-).

  12. @Alex,

    in der aktuellen Version schreibt der Entwickler:

    „Our sincere apologies to the entire WordPress community for allowing the spam injection to infiltrate your websites. We trusted the wrong people with our plugin code and it will not happen again.“

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.