WPML gibt es seit 2009 und hat bisher über 600’000 aktive Installationen. Ich selbst betreibe für Kunden und für ich selbst mehrere Webseiten mit diesem Übersetzungsplugin, da es bisher immer sehr zuverlässig arbeitete.

Vor wenigen Stunden gab es aber eine Aufregung und zwar haben viele WPML User eine Mitteilung erhalten, die auf den ersten Blick von den Admins des Plugins stammt – und im 2. Blick dann sich als Hack entpuppt.

Ein Hacker hat eine Mitteilung verfasst und veröffentlicht. Anscheinend ist er von einem Hack betroffen gewesen, dass durch Sicherheitslöcher im WPML Plugin möglich gemacht worden sind. Er hat also die gleichen Sicherheitslücken verwendet um diese MSG zu veröffentlicht.

So ne Art „Proof of Concept“

WPML came with a bunch of ridiculous security holes which, despite my efforts to keep everything up to date, allowed the most important two of my websites to be hacked.
WPML exposed sensitive information to someone with very little coding skills but merely with access to the WPML code and some interest in seeing how easy is to break it.
I’m able to write this here because of the very same WPML flaws as this plugin is used on wpml.org too.

Ebenfalls hat der Hacker noch die Seite mit den Funktionen verändert

Selbst Wordfence Hersteller eines Sicherheitsplugins hat bereits darüber berichtet.

At this time it appears that WPML's website has been defaced. We are also seeing reports that their mailing list was sent a message from the attacker. They claim to have used a vulnerability in WPML to carry out the attack. We are investigating. https://t.co/OJAZszsIBx

— Wordfence (@wordfence) January 20, 2019

Man kann also sagen, diese Neuigkeit hat eingeschlagen wie eine Bombe und auf eine Reaktion von WPML wartet man noch immer.

Was muss ich nun tun?

Nun kann man sich natürlich überlegen, ob man das Plugin sofort deaktivieren sollte. Ich persönlich finde das überflüssig – zur Zeit gibts nur 1 Hack und man weiss noch nicht wie gravierend diese Sicherheitslücke ist.

Ich persönlich hoffe jetzt einfach, dass ihr eure Webseiten immer schön sichert und mit regelmässigen Backups absichert. Beobachtet nun einfach ganz genau eure Webseiten, ob irgendwelche komischen Seiten entstehen oder komische Texte auftauchen.

Ich bin sicher im Laufe des Sonntags wird man von WPML hören – also haltet die Augen offen und seid vorbereitet.

Eine Nachricht der sich als WPML Gründer Amir Helzer ausgibt hat ist nun aufgetaucht.

The customer is an ex-employee who left an exploit on the server (not WPML plugin) before leaving. Besides fixing the damage, we’ll also be taking legal actions.

Ob das wirklich der Gründer von WPML war der hier das sagte, ist unbestätigt – also kann ich den Wahrheitsgehalt dieser MSG nicht bewerten.

Link: WPML hat auf den Hack reagiert und folgende Stellungnahme veröffentlicht