Thema: WordPress diverses ...

[SiLæncer]

Wordpress hat ein Update auf die Version 3.5.1. herausgegeben, das nach Angaben der Entwickler drei Sicherheitslücken schließt und 37 Bugs beseitigt. Zum einen ist in früheren Versionen über Postings und die externe Bibliothek Plupload Cross-Site-Scripting möglich. Zum anderen können Pingbacks dazu missbraucht werden das Netz des Servers auszuspionieren oder sogar Angriffe zu starten.

Der ganze Artikel

Quelle : www.heise.de

[ritschibie]

Mitarbeiter der Sicherheitsfirma Sucuri haben das Wordpress Social-Media-Widget Version 4.0 als Quelle von Spam ausgemacht. Es soll Werbe-Spam der Sorte "Pay Day Loan" auf Webseiten einschleusen. Die rund 900.000 Nutzer des Widgets sollten es so schnell wie möglich deaktiveren oder entfernen, falls dies nicht schon durch ein Wordpress-Update erledigt wurde.

Der ganze Artikel

Quelle: www.heise.de

[SiLæncer]

Weltweit berichten Hoster über Angriffe auf bei ihnen betriebene Installationen des Blog-Programms Wordpress. In einem Blog-Beitrag von Host Gator heißt es, man habe Zugriffe von mehr als 90.000 verschiedenen IP-Adressen registriert, und auch das Content Delivery Network Cloudflare stellte solche Aktivitäten fest, die vermutlich von einem Botnet ausgehen. Der Sicherheitsdienstleister Sucuri bestätigte eine Zunahme der Anmeldeversuche im April 2013 um das Dreifache. Am gestrigen Freitag hatten auch deutsche Hoster über Angriffen auf Wordpress- und Joomla-Installationen informiert. Leser haben ebenfalls über wiederholte Login-Versuche bei Wordpress von immer denselben IP-Adressen berichtet.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Über eine kürzlich entdeckte Sicherheitslücke werden derzeit systematisch Server gekapert. Wer das Anfang Juli veröffentlichte Update noch nicht installiert hat, sollte das dringend nachholen.

Sicherheitsforscher entdeckten kürzlich eine kritische Lücke des beliebten WordPress-Plugin MailPoet für komfortables Newsletter-Management. Die Entwickler reagierten prompt und veröffentlichten eine aktualisierte Version, die die Lücke beseitigt; betroffen waren alle vorherigen Versionen. Und die werden jetzt systematisch ausgenutzt, um eine Hintertür auf dem Web-Server zu installieren.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Der Schädling namens SoakSoak hat hunderttausende Webseiten über das Plug-in Slider Revolution befallen und spioniert die Server aus. In einigen Fällen werden auch Besucher per Drive-By-Download infiziert.

Sicherheitsforscher warnen erneut vor einer seit Monaten bekannten Sicherheitslücke im beliebten WordPress-Plug-in Slider Revolution. Die Lücke wird mittlerweile aktiv ausgenutzt, um die Webseiten mit dem sogenannten SoakSoak-Schadcode zu infizieren. Dieser läd bösartiges JavaScript von der Domain soaksoak.ru nach, was dem Schädling seinen Namen gab. Der Schadcode spät den Webserver aus und infiziert in manchen Fällen auch Besucher der Webseite. Google soll hunderttausende von infizierten Seiten gesperrt haben.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Für eine Anfang Dezember veröffentlichte Lücke in der beliebten WordPress-Erweiterung gibt es jetzt einen Exploit, mit dem jedes Skript-Kiddie ungepatchte Server kapern kann.

Anfang Dezember wurden schwerwiegende Sicherheitslücken im WordPress Download Manager bekannt und mit einem Update behoben. Ein offen im Internet verfügbares Skript nutzt eine dieser Lücken, um einen zusätzlichen Administrator-Account anzulegen. Wer ein Shell-Skript bedienen kann, ist damit in der Lage anfällige Server zu kapern.

Die Lücken betreffen die Versionen des Download Managers vor 2.7.5. Ein Security-Advisory der Entdecker bei Sucuri erklärt die Details dazu. WordPress-Admins, die ältere Versionen des Download Managers nutzen, sollten schleunigst auf eine neuere Version umsteigen. Aktuell ist derzeit Version 2.7.81; beim Update von 2.6er-Versionen des Download Managers gibt es einige Dinge zu beachten.

Quelle : www.heise.de