Wordpress-Widget verbreitet Spam

Mitarbeiter der Sicherheitsfirma Sucuri haben das Wordpress Social-Media-Widget Version 4.0 als Quelle von Spam ausgemacht. Es soll Werbe-Spam der Sorte "Pay Day Loan" auf Webseiten einschleusen. Die rund 900.000 Nutzer des Widgets sollten es so schnell wie möglich deaktiveren oder entfernen, falls dies nicht schon durch ein Wordpress-Update erledigt wurde.

Sucuri geht davon aus, dass der schädliche Code mit dem Update des Plug-ins auf Version 4.0 Ende März in Umlauf kam. Im Januar hatte ein anderer Entwickler das Widget übernommen, bereits im Februar war das Plug-in negativ aufgefallen. Die schädlichen Funktionen waren in der ersten Zeit nach dem Wechsel allerdings noch nicht so offensichtlich wie nun in Version 4.0. Das Widget führt ein PHP-Skript von einer Drittanbieter-Seite aus – der Code zum Einschleusen von Spam wurde sogar etwas optimiert.

Zwar wurde noch eine Version 4.0.1 ohne den Schadcode angeboten, allerdings griffen nun die Wordpress-Entwickler ein. Sie entfernten das Widget aus dem Angebot und lieferten ein Update an alle Nutzer aus, welches das Widget aus allen Systemen tilgen sollte. Sie verweisen nun auf andere Plug-ins, um den Wegfall des Social-Media-Widgets auszugleichen. Hinter den Kulissen wollen sie mit dem Entwickler weiter in Kontakt bleiben und so sicherstellen, dass das Widget in einem neuen Anlauf sauber ist. Solange das nicht sicher ist, bleibt es gebannt.

Wie der schädliche Code in das Widget kam, ist noch unklar. Sucuri stellt fest, dass die Änderungen im Kern des Widgets vorgenommen wurden. Das lässt vermuten, dass entweder der Autor selbst tätig wurde oder seine Berechtigungen manipuliert wurden. Das Vorgehen von Wordpress lobte das Unternehmen, allerdings wies es auch darauf hin, dass dies vielleicht nur ein erster Test für einen neuen Angriffsvektor war. (kbe)