Heute hatte ich fast einen "Herzkasper", tauchten doch in meinem WordPress-Administrationsbereich plötzlich die Plugins "Hello Dolly" und "Akismet-Antispam" auf. Aber es hat kein böser Hacker zugeschlagen, sondern das ist im Nachgang erklärbar – hab mich ins Boxhorn jagen lassen.
Fast einen Herzkasper gekriegt …
Da bist Du am frühen Samstag-Morgen nichts böses ahnend in deinem Blog unterwegs und bekommst als Administrator die Mitteilung, dass ein Update ansteht. Gut, auch bei borncity.com bin ich nach dem Umzug auf den neuen Besitzer der Administrator meiner IT-Blogs und kümmere mich darum, dass a) nur ein minimales Plugin-Set installiert ist und b) dass diese Plugins sowie die Übersetzungen und das Theme aktuell sind. Der WordPress Core wird ggf. durch den neuen Betreiber aktualisiert (könnte auch durch mich aktualisiert werden).
Plötzlich "Akismet-Antispam"- und "Hello Dolly"-Plugin vorhanden
Also schnell im Dashboard auf die Update-Anzeige gegangen und in der Plugin-Liste ein Plugin aktualisieren lassen. Und dann fiel mir das Herz in die Hose, und der Kaffee zum Frühstück kam fast hoch. Mein Blick fiel auf ein Plugin mit dem Namen Hello Dolly, welches plötzlich in der Plugin-Liste auftauchte.
Inzwischen habe ich noch das zweite Plugin Akismet Anti-spam: Spam Protection in der Plugin-Liste meiner WordPress 9.6-Installationen gefunden (siehe obiges Bild). Beide Plugins waren zwar deaktiviert – aber ich konnte mich nicht erinnern, diese installiert zu haben. Auch die NinjaFirewall hatte mir erinnerlich nichts über eine Plugin-Installation gemeldet.
Plugins von den WordPress-Entwicklern
Ein Blick auf die Beschreibung von "Hello Dolly" sorgte dann bei mir einerseits schnell für Entspannung. Das Plugin stammt von Matt Mullenweg, dem Kopf hinter WordPress und der Automattic. Die Beschreibung besagt:
Dies ist nicht nur ein Plugin, es symbolisiert in zwei Worten, gesungen von Louis Armstrong, die Hoffnung und den Enthusiasmus einer ganzen Generation: Hello, Dolly. Nach Aktivierung werden im Zufallsprinzip aus dem Liedtext von Hello, Dolly Zeilen oben rechts im Administrationsbereich angezeigt.
Ist das dringendste, was ich als Administrator gebraucht hätte. Aber zumindest Entwarnung, dass mir kein Hacker etwas untergeschoben hat.
Ich habe dann kurz recherchiert, und bin auf den ein Jahr alten Beitrag hier gestoßen. Das Plugin "Hello Dolly" soll wohl schon ein Jahr lang Bestandteil von "WordPress" sein. Das werde von manchen Providern mit installiert. Auch hier wird eine ähnliche Erklärung geliefert. Das Plugin soll WordPress-Nutzer seit 2004 irritieren, heißt es – nur habe ich das noch nie gesehen.
Es gäbe noch die Möglichkeit, dass Hacker unter falscher Flagge segeln und ein Plugin installieren. Würde ich hier aber mal ausschließen. Und dass Akismet plötzlich in der Plugin-Liste ist, deutet auch in eine andere Richtung. Das Plugin habe ich aus DSGVO-Gründen nie eingesetzt, sondern verwende Anti Spam Bee.
Eine mögliche Erklärung
Die Erklärung dämmerte mir, als ich die letzten Tage rekapitulierte und in meine anderen Blogs geschaut habe. Alle Blogs unter borncity.eu, die unter meiner Kontrolle laufen, haben diese beiden Plugins nicht bekommen. Nur die beiden WordPress-Blogs unter borncity.com weisen diese Plugins auf. Und dann fiel der Groschen: Die Woche sind beide Blogs zum neuen Eigentümer umgezogen.
Ich hatte zwar ein Backup meiner WordPress-Dateien gezogen, was dann vom neuen Betreiber auch zurückgespielt wurde. Aber es gab minimale Abweichungen – im Dashboard musste ich bei einem Blog die Darstellung des Administratorbereichs für das Dashboard anpassen. Und ich gehe davon aus, dass die beiden oben genannten Plugins über diese Schiene in den Blog gekommen sind. Ich habe sie jetzt gelöscht und hoffe, dass Ruhe ist. Aber zumindest läuft der Blog hier mit WordPress 6.9 (ich hatte ja wegen der im Beitrag WordPress 6.9 verursacht "Blog-Hänger" ein Rollback gemacht).
MVP: 2013 – 2016
Schön, dass du weiter die Augen offen hältst : )
Gut, dass Du bei Dir Entwarnung geben konntest. Aktuell sollte man wohl angesichts aller Zwangsbeglückung durch Softwaresteller und der Menge an suboptimalen Code da draussen selbst ein "Hello world" – Grußplugin als unnütze oder potentiellmangreifbatr Bloatware werten.
Deine Reaktion der ersten Schreckminuten kann ich voll nachvollziehen. Ein schönes Adventswochenende Dir und Deiner Frau!
Die 2 hier genannten Plugins sind doch Standard Plugins, die sind wohl vorhanden wenn man WordPress von Webseite lädt und neu hochlädt auf den Webspace. Interne Backups von WP selbst würden wohl nur fehlendes ergänzen oder ggf. Sachen überschreiben, aber bereits vorhandenes ggf. nicht entfernen. Also wundert es mich dann nicht so.
Würde es begrüßen wenn man z.B. Plugin "Comment Reply Email Notification" verwendet, und man auf Wunsch eine Email-Benachrichtigung bekommen kann für die Kommentare.
Kann den letzten Satz verstehen, hatte mich aber aus DSGVO-Gründen dagegen entschieden. Weiß nicht, ob ich im Auslaufmodus das noch wuppen will. Lasse es mir durch den Kopf gehen, aber ein Plugin, was nicht vorhanden ist, kann auch nicht angegriffen werden.
**********************************
Lasse es mir durch den Kopf gehen, aber ein Plugin, was nicht vorhanden ist, kann auch nicht angegriffen werden.
**********************************
Genau das! Man muss seine Angriffsfläche nicht unnötig erweitern.
Nen Scheunentor reissen für ein kleinse Fünkchen Bequemlichkeit… war noch nie ne tolle Idee!
Diese beiden Plugins sollten bei WordPress Komplettumzügen oder beim normalen Einspielen von WordPress Updates eigentlich nicht von alleine erscheinen.
Evtl. kamen die durch den kürzlichen Rollback von 6.9 zurück auf 6.8.3 oder wenig wahrscheinlicher durch Mechanismen beim neuen Eigentümer oder Nutzung eines Servermigration Plugins, das ein frisches WordPress Core und Plugins nicht überschreibt o.ä.
Seit über 18 Jahren…
Akismet gehört bei mir von Anfang an dazu. Hello Dolly kann ich nicht nachvollziehen.