sonst läuft man Gefahr, dass man sich eine verseuchte Blog-Software installiert: Achtung: Fake WordPress Website im Netz aufgetaucht
100%-Downloadquelle:
WordPress.org / deutsche Version auf de.Wordpress.org wie auch auf WordPress-Deutschland.org
WordPress: Nur von WordPress.org/.de downloaden
[…] ich gerade bei Robert im Blog lese, ist eine versuchte WordPress-Version im Umlaufm welche eine modifizierte pluggable.php […]
Danke für die Warnung.
„Nur vom Hersteller herunterladen“ ist im Übrigen eine recht allgemeine Regel. Es dürfte auch zahlreiche andere Softwareprodukte geben, wo zwielichtige Gestalten manipulierte Versionen verbreiten. Es empfielt sich auch immer einen genauen Blick auf die URL zu werfen, um nicht per Tippfehler beim falschen zu landen.
Für WP-Themes gilt dasselbe: Immer nur beim Autor oder auf den offiziellen WP-Seiten herunterladen. Es gibt nicht wenige Gauner im Netz, die eigentlich freie Themes mit sichtbaren oder versteckten Links zu irgendwelchen zweifelhaften Websites anbieten.
Sollte das nicht immer der Grundsatz sein?
Egal ob ich Software Downloade – immer nur beim Anbieter – nach dem Kaufen oder bei Freeware – Chip / Heise und wie due großen heißen.
Musik – bei legalen Anbietern
Filme – bei legalen Anbietern
usw…
bei allem anderen muss man doch eigentlich mit Trojanern, Viren und sonstigen Schrott rechnen – aber solange die User nur ihren PC anschliessen und Surfen ist halt alles möglich…
@4
Robert hat nicht erwähnt das über eine Hintertürchen eine Dashboardmeldung ein Update empfiehlt, welches auf besagte fake WP-Seite verweiste.
[…] via: Robert Basic […]
Dashboard-Meldung?
[…] via Robert […]
2. Absatz des verlinkten Artikels oder auf die Screenshots gucken! Eigentlich ist das, das Brisante!
ja, aber doch nur, wenn mansich eben die gefakte Version installiert. Das Dashboard-Teil ist nachrangig.
Nein, ich habe das anders verstanden, die Meldung kommt im „Original“ WP und leitet dann erst auf den Download auf die Fake-Seite wieder. So stehts eigentlich auch auf wp-magazin:
Your comment is awaiting moderation… und das wegen 2 HTML-Tags! Mist. 😀
Geduld junger Luke:)
Zum Thema: Das ist doch meine Rede. INstalliere die SW von org und de, nicht über andere Probs. Man muss sich nur das merken, sonst nix.
Wenn ich die Screenshots im verlinkten Artikel richtig interpretiere, dann ist es nicht wirklich eine „Lücke“ in WordPress, durch den die sich da zutritt verschafft haben. Sie scheinen vielmehr einen der im Dashboard angezeigten RSS-Feeds gekapert zu haben…
Robert, glaubst du wirklich das der Großteil das beherzigt? Der klickt auf die Meldung und denkt sich: alles wird gut!
@14
Macht ja keinen Unterschied wie es benannt wird, hoffen wir mal, dass es kein zweites Mal passieren kann.
@Michael (15) Doch, das ist nämlich genau das Problem:
WordPress hat irgendwann mal die Versionshinweise eingeführt, die auf allen Adminseiten eingeblendet sind und einem zum Update auffordern (ab 2.7 sogar automatisch). Auf den Screenshots im verlinkten Artikel sind die Versionshinweise noch völlig in Ordnung (zeigen auf 2.6.3). Wenn sich *da* jemand reinschummeln könnte (über eine Sicherheitslücke), dann hätten wir ein großes Problem.
Der gefälschte Updatehinweis auf die gefälschte Version 2.6.4 steht aber in dem Bereich, in dem irgendwelche RSS-Feeds mit WordPress-Themen angezeigt werden. Dort steht immer mal wieder irgendwas komisches (bei mir im Moment z.B.: „Im Zweifelsfall Firefox neu starten – Peruns Weblog“). Ich weiß nicht, wie man in den Kanon dieser Meldungen aufgenommen wird, aber unsere Hacker hier scheinen das irgendwie geschafft zu haben. Würde man diesen Bereich mit externen Inhalten entfernen, stärker konfigurierbar machen oder auf eine eigene Seite verlegen, dann wäre Ruhe…
OK, jetzt habe ich es auch geschnallt, im Screenshot sieht man einmal den Feed mit dem angeblichen 2.6.4 und zum anderen den regulären Hinweis auf 2.6.3
Ich dachte beides sei manipuliert geworden.
WordPress-Deutschland.org nimmt auch immer nur die Originalversion won WordPress.org als Grundlage für die DE-Edition.
[…] hatte gerade einige Beiträge im Reader die auf die Fakeseite “Wordpresz.org” (erkennbar an dem z) aufmerksam gemacht […]
[…] Basic Thinking Blog und […]
Danke Robert für die Info,
Aber was ist mit WordPress-deutschland.org ?!
siehe #18.. habs oben im Text erweitert, bevor einer denkt, dass die böse sind:)
@Robert
Hab ich gerade gesehen… Wenn man halt so viele Kommentare hat… (Ok, in diesem Fall noch wenig) 🙂
[…] über Robert mitbekommen: Es gibt eine gefälschte WordPress-Seite, die User ein Update vermittelt, dass nach […]
Danke für den Hinweis
Finde ich recht seltsam.
ja, aber doch nur, wenn mansich eben die gefakte Version installiert. Das Dashboard-Teil ist nachrangig.