Der Google Analytics Count Tracker hat eine gewaltige Sicherheitslücke, die das Injizieren von Schadcode auf der Webseite mit diesem Plugin ermöglicht. Mit dieser Sicherheitslücke huckepack kann beliebiger PHP-Code auf einem Webserver ausgeführt werden. Jeder beliebige. Und damit ist es klar, dass man großen Schaden anrichten kann. Mit einer Einschränkung: Diese Sicherheitslücke klafft ausschließlich dann, wenn man eine veraltete Version dieses Plugins installiert hat. Darum: Leute, macht um Himmels Willen Updates!
Aktuell ist das Plugin in der Version 3.9 unterwegs. Die ist seit 2 Wochen erhältlich. Die oben beschriebene Sicherheitslücke im Google Analytics Count Tracker betrifft aber Versionen, die älter als die 3.5.1 sind. Eine dumme Frage: Wie lang muss man da das Plugin nicht aktualisiert haben? Eine weitere dumme Frage: Wie sorglos gehen Menschen mit Webseiten um? Was geht in den Köpfen vor? Das muss alles nicht sein. Updates sind wichtig und notwendig. Auch bei WordPress und auch bei verwendeten Plugins.
WordPress ist nun einmal gigantisch weit verbreitet. Stellen wir uns mal WordPress als das Windows der Content Management Systeme vor. Selbst Microsoft hat die Unternehmensblogs auf WordPress migriert. Alles, was weit verbreitet ist, ist nun einmal bevorzugtes Ziel von Angriffen. Irgendein Wald-und-Wiesen-System ist völlig uninteressant für Angreifer. Das ist bei WordPress schon anders. Hier muss man eben hergehen und seiner gottverdammten Pflicht nachkommen und sich um die Webseite kümmern.
Das bedeutet auch, Updates zu installieren, Backups anzufertigen und so weiter und so fort. Ich verstehe einfach Menschen nicht, die mit völlig veraltetem Kram um die Ecke kommen. Es ist ja nun eine Kleinigkeit, seinen Ramsch in Ordnung zu halten. Beim Smartphone jammern wir den Hersteller voll, warum nicht das aktuellste Update bereits auf dem Gerät angekommen ist. Und bei unseren Webseiten lassen wir die Dinge einfach mal schleifen. Wer denkt denn so?
Was mit dem Google Analytics Count Tracker passiert ist, war vermeidbar. Wer die Software aktuell hält, läuft weniger Gefahr, zum Angriffsziel zu mutieren. Wer das nicht einsieht, dem ist nicht zu helfen. Man kann vor jedem Update ein Backup anfertigen. Das ist gar kein Problem. Dann kann auch mal etwas schief gehen. Für alles andere gibt es keinerlei Ausreden. Aber was rede ich hier? Macht doch, was ihr wollt.
Nur mal so, warum hast du dich so aufgeregt, gab es einen besonderen Anlass? Habe ich was überlesen?
Naja, jetzt nix spezielles. Aber wenn ich sehe, dass ein großer Teil der Gefährdungen im Internet durch veraltete Software überhaupt zustande kommen kann und es Leute gibt, die nach wie vor ihren Kram nicht aktuell halten, dann kriege ich halt einen zu viel.
Das darfst du dir nicht so sehr annehmen. Ist halt leider so das eben nicht jeder sich so kümmert wie du und ich.
Ist leider doof wenn man eine Seite ansteuert wo dann Gefahr lauert aber dafür vertraut man ja dann wieder seinem AV- Programm.
Hallo Daniel,
damit hast du durchaus Recht. Ich nehme mir das auch nicht an. Aber es ist störend, wenn man von irgendwelchen Sicherheitsproblemen hört oder liest und dann feststellt, dass es daran lag, weil lange keine Updates erfolgt sind.
Hallo Henning,
ich weiss, wovon du sprichst und ich habe neben meinen CMS auch noch den Rootserver mit Plesk unter mir und im Besitz. Alles braucht stets neue Updates und da grase ich das Internet regelmässig nach den CMS, die ich nutze, ab, um auf dem Laufenden zu sein. Oft spiele ich täglich kleine bis grosse CMS-Updates ein. Ich will damit erreichen, dass meine Projekte immer stabil und sicher laufen können.
Ich will nicht wissen, wer heute noch mit WordPress 4.0.x arbeitet. Das geht einfach nicht mehr und tut auch nicht Not. Reichlich Zeit wird sich genommen für CMS-Updates, aber da ich mit Konsole und FTP arbeite, habe ich solche Update-Prozesse zeitlich gesehen verdichtet, sodass ich wesentlich schneller fertig werden kann.
Ist dieser Google Analytics Count Tracker ein Bestandteil des WordPress-Plugins Google Analytics Dashboard for WP? Das nutze ich nämlich und selbstverständlich alles top aktuell. Das gehört sich als CMS-Nutzer oder zumindest muss alles einigermassen aktuell sein ;)
Hallo Alex,
jetzt gibt esa mal Antwort.
Nein, der Count Tracker gehört nicht zum Dashboard. Der ist ein eigenständiges Plugin. Aber sicher hast du das inzwischen herausgefunden.
Wenn man sich die Arbeit verdichten kann, spart man ja an der Zeit. Insofern glaube ich schon, dass du das richtig machst.