Ihr wisst ja, seit der DSGVO muss man viele Abfragen und Trackingsachen freiwillig machen – dafür setzen viele User gerne das WordPress Plugin Plugin WP GDPR Compliance ein.
Und zwar wurde vor 3 Wochen das erste mal ein komisches Verhalten von WordPress Installationen beobachtet – nach einiger Suche hat man dieses Plugin als die Fehlerquelle identifiziert. Und zwar konnte man mit dem Plugin die gesamte WP Installation manipulieren.
. Vor drei Wochen wurde im Support-Forum eines anderen Plugins ein merkwürdiges Verhalten beschrieben – so hat sich dieses Plugin ohne Zutun des Website-Betreibers mehrfach installiert und aktiviert.
Am 6. November wurde das Plugin aus dem Plugin-Verzeichnis von WordPress entfernt, worüber die Plugin-Entwickler in einem Support-Thread informieren. Am 7. November wurde Version 1.4.3 veröffentlicht, die von dem Plugin-Review-Team wieder freigegeben wurde. In diesem Thread berichten User davon, dass auf ihren Websites Benutzerkonten mit Admin-Rechten angelegt wurden – wenn ihr das Plugin einsetzt, solltet ihr also dringend ein Update auf 1.4.3 vornehmen und prüfen, dass die Lücke nicht schon ausgenutzt wurde.
Momentan befinden sich die Plugin-Autoren laut des Support-Threads im Austausch mit dem Plugin-Verzeichnis-Team, um die Möglichkeit eines erzwungenen Updates für alle Installationen mit dem Plugin auszuloten. Auf dem Blog der Plugin-Website gibt es nähere Informationen zu der Sicherheitslücke.
Update 16:30 Uhr am 9.11.18
Ich habe jetzt bereits von mehreren Webseitenbetreiber gehört, dass updaten nicht ausreicht. Ihr solltet das Plugin löschen und eure Installation auf Fremdcode checken !!
Update reicht nicht. Wir hatten die angesprochene Version und würden auch angegriffen. Neuer Benutzer abgemeldet Usw ich würde es deinstallieren!
danke für die Info – ich hab ähnliches von anderen usern auch gehört – und darum habe ich den beitrag soeben angepasst