Populäre Plug-ins manipuliert

Passwort-Reset auf wordpress.org

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Auf der Community-Seite zur Blog-Software Wordpress mussten alle Passwörter zurückgesetzt werden.

Das geschah aus Sicherheitsgründen, nachdem Manipulationen an drei populären Wordpress-Plug-ins entdeckt worden waren. In neu hochgeladenen Versionen von "AddThis" (Social Sharing), "WPtouch" (automatische Smartphone-Anpassung) sowie "W3 Total Cache" (Performance-Tuning) hatten Angreifer gestern offenbar "clever getarnte Backdoors" eingebaut, wie Chefentwickler Matt Mullenweg im Wordpress-Blog berichtet.

Die betroffenen Plug-ins wurden zunächst auf den vorigen Versionsstand gebracht und dann mit neuen, geprüften Releases erneut als Updates veröffentlicht (damit auch die Nutzer diese erhalten, die zwischenzeitlich die Hintertür-Varianten eingespielt hatten). Die Betreiber entschieden überdies, alle Passwörter auf wordpress.org zurückzusetzen. Diese braucht man beispielsweise zur Anmeldung beim Forum und Trac oder um neue Versionen von Plug-ins und Themes einzuchecken. Neben wordpress.org sind auch die Schwesterprokekte bbpress.org und buddypress.org betroffen.

Nutzern rät Mullenweg, nie dasselbe Passwort für unterschiedliche Services zu verwenden und nach dem Reset nicht das bisherige Passwort neu einzutragen. Außerdem sollte jeder, der möglicherweise die gefährlichen Plug-ins installiert haben könnte, umgehend auf die neuesten Versionen von AddThis, WPtouch und W3 Total Cache aktualisieren.