Wie auf wp-magazin.ch zu lesen ist, gibt es eine Hintertür in der aktuellen(?) WordPress-Version, über welche es möglich ist, einen falschen Update-Hinweis im Dashboard zu plazieren. wurde ein News-Feed dazu genutzt um eine Falschmeldung über ein vermeintliches WordPress-Update zu verbreiten.
Als ob das alleine nicht schon beunruhigend genug wäre, lädt man beim vermeintlichen Update eine modifizierte Version von WP herunter. Beim Download dieses Updates sollten aber schon die Alarmglocken läuten, da die Quelle wordpresz.org lautet (man beachte das „z“ am Ende des Domainnamens!).
In diesem Download wurde die pluggable.php modifiziert, welche die Cookies der angemeldeten Benutzer zur gefakten Website schickte. Besagte Webseite ist aber derzeit offline.
*Nachtrag*
Da im Screenshot eine Version 2.5.1 gezeigt wird, bin ich mir nicht mehr sicher, ob die Dashboard-Lücke nicht nur eine alte Version betrifft.
*Nachtrag*
So wie es aussieht, wurde nicht die Update-Funktion von WP missbraucht, sondern nur ein News-Feed gekapert.
Moin Micha, vielen Dank für die Info !!!!
Pingback: Achtung - Fake WordPress Update » Blogwiese
Pingback: WP 2.6.4 gibt es noch nicht! » Cowboy of Bottrop
Pingback: niedermayr » Blog Archiv » Trau schau wem!
Pingback: WordPress 2.6.5 ist da! - GreenSmilies
Pingback: Wordpress 2.65 | oWn-Themes