Die Woche hatte ich den Artikel WordPress-Plugin generiert Suchmaschinen-Spam (gelöscht) hier im Blog. Äußerst unschön: Das Plugin injizierte Suchmaschinen-Spam im Blog, der auf Escort-Dienste in England und Kreditangebote verweist. Ein kurzer Test meinerseits zeigt, dass einige deutsche Webseiten, u.a. Heilpraktiker, Vereine und ein Enterprise Hosting-Unternehmen, betroffen sind. Hier noch ein paar zusätzliche Infos.
Anzeige
Kritik an den WordFence-Machern für die Aufdeckung
Die Macher des Sicherheitsanbieters WordFence, die dies aufdeckten, wurden vom WordPress-Team, welches das Plugin-Repository pflegt, und vom Autor des Plugin heftig für die Veröffentlichung kritisiert. Hier ein paar Ergänzungen, was die WordFence-Spezialisten bei der Analyse herausgefunden haben:
- Der Suchmaschinen-Spam wird vor dem Seitenbetreiber und jedem Besucher versteckt – man stolpert also nicht über den injizierten Code.
- Nur wenn eine Suchmaschine mit dem passenden User-Agent (Browser Identification String) die Site abfragt, wird der Spam ausgeliefert.
- Das Plugin fordert die Zustimmung beim Abnicken der Lizenzbedingungen an. Die Info findet sich aber hinter einer länglichen Kopie der GNU general public license – ein Nutzer muss also sehr weit nach unten scrollen, um die Stelle im Text zu finden.
- Der Spam verlinkt auf einen britischen Escort-Dienst und wohl auf eine Seite, die Gehaltskredite (Payday Loan) anbietet.
Das war für die Betreiber von WordFence genug, um deren Nutzer auf der Mailing-List zu informieren (so habe auch ich davon erfahren). Die Vorstellung der Leutchen vom WordPress-Maintainer-Zirkel, die heftige Kritik übten: Erst den Plugin-Autor kontaktieren. Wenn der nicht reagiert, die Maintainer des WordPress-Plugin-Repository kontaktieren, aber nix veröffentlichen. Das WordFence-Team hat jetzt den ganze Fall und ein paar zusätzliche Informationen im Artikel We will always put our customers and community first offen gelegt. Vielleicht interessiert es den einen oder anderen WordPress-Nutzer.
Ist mein Blog betroffen?
An dieser Stelle noch ein paar Infos für die WordPress-Blog-Betreiber, die hier mitlesen. Wie kann ich prüfen, ob mein Blog von diesem "Vorfall" betroffen ist? Die Wordfence-Macher haben im oben verlinkten Blog-Beitrag eine Zeichenkette angegeben, die offenbar als Kennung für den Spam im Blog injiziert wird. Befragt man eine Suchmaschine seines Vertrauens kommt man schon ins Staunen – weltweit sind über 8.600 Treffer zu verzeichnen, die Suchmaschinen-Werbung für einen britischen Escort-Dienst und mehr machen. Kommt besonders gut bei Schulen.
Anzeige
Ich habe mal Google nach <string> site:.de befragt (den String findet ihr hier) – das Plugin ist wohl speziell auf den Browser-Identifizierungsausdruck von Suchmaschinen wie Google zugeschnitten. Da kommst Du schon ans Grübeln, wer da aufgelistet wird (siehe den obigen Screenshot). Ich habe mal einige Betreiber angemailt und auf das Thema hingewiesen.
Ich verzichte darauf, den String hier im Blog aufzunehmen – bin da gebranntes Kind. Nachdem ich einen PayPal-Phishing-Fall in Blog-Beiträgen aufbereitet hatte, landete mein Blog auf zahlreichen Black-Lists. Und das, obwohl ich die Links zu den kompromittierten Webseiten entschärft hatte (keiner war funktional). Da die Black-List-Filter aber ziemlich doof sind, haben die die Blanks und anderen Zeichen aus meinen entschärften Links rausgefiltert und messerscharf geschlossen, dass meine Seite auf Phishing-Angeboten oder Malware verweist. Ihr könnt aber diesen Link verwenden und die URL borncity.com gegen eure Webseitenadresse austauschen (danke an Michael für den 'Hint').
Nachträge: Info schwierig, andere Plugins machen es wohl auch
Das Anmailen von Betreibern hat sich als nicht so einfach herausgestellt. Einige Betreiber geben schlicht kein Impressum oder eines ohne E-Mail-Adresse an. Da müsste ich anrufen oder per reitendem Boten eine Info schicken (so z.B. an die wackeren Männer vom Luftwaffenmuseum oder deren Website-Betreiber).
Zudem habe ich mal die URL des Escort-Service sowie für Short Term Loans bei Google in der Suche eingegeben. Da tauchen weitere Webseiten, wie irgend eine Landjugend, Yelp (dürfte von jemandem eingetragen worden sein) sowie Blogs auf. Scheint, als ob weitere Plugins da diesen Ansatz verfolgen und Suchmaschinen-Spam injizieren.
Anzeige
Ist man denn auch gefährdet, wenn man das Plugin bzw. Add-on nicht nutzt? Wie kann man sich schützen?
Wer einen Blog betreibt und selbst hostet, wird sich mit den betreffenden Techniken vertraut machen müssen. Egal ob es WordPress, Typo3, Joomla oder was weiß ich ist. Und hier stelle ich auf einen konkreten Fall ab – kann aber keine Empfehlungen geben, wie man sich global schützen kann.
Ich weiß warum ich keine Plugins nutze, sondern immer versuche alles selber zu lösen.
Wird halt nicht jeder können.
BTW: Wie hast Du denn dieses unsägliche Problem mit der schwebenden Leiste beim Editieren von Links im Frontend von WP gelöst?