Am Wochenende haben Nutzer des weit verbreiteten WordPress-Plug-ins WP Multilingual (WPML) per E-Mail ein angebliches Rundschreiben eines Sicherheitsforschers erhalten, worin sie über ungepatchte Sicherheitslücken informiert wurden. Jedoch wurden die Nachrichten von einem ehemaligen Mitarbeiter verschickt, der zuvor das Plug-in und auch die Website seines Ex-Arbeitgebers gehackt hatte.

Um Inhalte zu übersetzen und WordPress-Websites in mehreren Sprachen anzubieten, gilt WPML als das dafür am häufigsten genutzte Plug-in. Das Plug-in hat der Anbieterseite zufolge mehr als 600.000 zahlende Nutzer.

Der Mann behauptete in der E-Mail, das WPML-Team habe seine Berichte über mehrere Anfälligkeiten in dem WPML-Plug-in ignoriert. Er forderte die Empfänger auf, zu prüfen, ob ihre Seiten kompromittiert wurden und das Plug-in zu entfernen. Darüber hinaus veränderte er auch Inhalte der WPML-Website. Er veröffentlichte dort den Text des Rundschreibens als Blogeintrag und zur Liste der Plug-in-Funktionen fügte er „Sicherheitslücken“ hinzu.

Die Vorwürfe wurden kurz darauf jedoch vom WPML-Team vehement dementiert. Die irreführende Warnung stammte dessen E-Mail zufolge von einem ehemaligen Mitarbeiter, der eine Hintertür in der offiziellen Website hinterlassen habe, um auf Server und Kundendatenbank zuzugreifen. Er habe mit den Daten das Rundschreiben generiert und auch den Beitrag im Firmenblog verfasst.

Laut den Entwicklern wurden keine Finanzdaten kompromittiert. Des Weiteren sei der Hacker nicht in der Lage gewesen, Quellcode einzusehen oder gar zu manipulieren. Allerdings schließen sie nicht aus, dass der ehemalige Mitarbeiter Daten erbeutete, die es ihm erlauben, sich in die Konten der Kunden einzuloggen.

Nun wird nach Angaben des Unternehmens der kompromittierte Server neu aufgesetzt, um auch die Hintertür zu entfernen. Alle Kunden-Passwörter sollen außerdem zurückgesetzt werden.

(jf, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE