Jetzt greift man sogar schon über WordPress-Themes auf Blogs, die auf WordPress basieren, widerrechtlich auf diese Blogs zu. Im schlimmsten Fall kann jemand, der über die folgende Sicherheitslücke zugreift, den ganzen Server kompromittieren. Das Schlimme ist: Die Lücke kommt fest verbaut mit einigen Themes mit.
Viele Premium-Themes für WordPress beinhalten ein Plugin namens „Slider Revolution“. In Anreiß-Texten und Vorschauen oder in Bilderstrecken wird dieses Plugin verwendet, um Bilder rotieren zu lassen. In diversen Blogs habe ich das schon gesehen. Damit kann man mit diesem zusätzlichen Effekt Produkte präsentieren oder mit der Navigation herumspielen. Man erzeugt damit tatsächlich Effekte, die den Besucher hingucken lassen.
Aber es ist eben auch möglich, dass ein Angreifer beliebige Dateien von einem angreifbaren Webserver herunterlädt. Das geht bis hin zu den Konfigurationsdateien von WordPress. Und wie das nun mal so ist, mit den Daten kann man dann eben so einiges mit der WordPress-Datenbank veranstalten. Und derartige Angriffe nehmen wohl seit ein paar Wochen drastisch zu, sodass man tatsächlich einmal nachsehen sollte, ob man zu den Betroffenen gehört.
Da es nicht in jedem Fall ersichtlich ist, dass das Plugin integriert ist, sollte man vielleicht mal beim Theme-Marktplatz „Envato“ schauen, ob im verwendeten Theme der Slider eingesetzt wird. Die Entwickler von „Slider Revolution“ empfehlen dringend, das Plugin auf mindestens Version 4.2 zu heben. So weit ich gesehen habe, ist die aktuelle Version wohl die 4.6. Oder aber man soll bei einem Premium-Theme den Support der Theme-Entwickler in Anspruch nehmen. Ich würde ja, wenn ich so ein Theme mit diesem Plugin im Einsatz hätte, das Theme temporär wechseln, bis die Gefahr gebannt ist.
Das alles findet man derzeit bei Heise. Die berufen sich auf die Sicherheitsexperten der Firma Sucuri. Die raten dringend zum Update. Allerdings ist das auch zu kurz gefasst. Es gibt unzählige Premium-Themes, die dieses Premium-Plugin integriert haben. Und dann ist so ein Konstrukt derart anfällig. Was meinen Sie, wie unklar das dem einen oder anderen Nutzer von WordPress ist, ob das Zeug nun bei ihm verbaut ist oder nicht? Mancher will eben nur schreiben und sich mit dem Technischen nicht herumschlagen. Die würden wohl panisch werden und sich Dienstleister für nochmal extra Geld kommen lassen.
Ich denke, was da mit dem Plugin passiert ist, ist der absolute GAU für Premium-Themes. Ich denke, dass das Plugin sogar aus den Themes entfernt wird. Eine bessere Lösung gibt es wahrscheinlich nicht. Wenn Sie aber betroffen sind, aktualisieren Sie dringend dieses Plugin.