Der erste WordPress XSS Wurm ist raus, der eine Zero-Day Schwachstelle in WordPress ausnutzt. Alle derzeit erhältlichen WordPress Versionen sind von der Cross Site Scripting Lücke betroffen. Aber keine Angst: Bei dem “Wurm” handelt es sich um ein gutmütigen Zeitgenossen, der sogleich das vorhandene Sicherheitsleck stopft.

Wer den Wurm selber testen will, schreibt einfach einen Kommentar in seinen Blog mit folgendem Link als Inhalt:

[sourcecode language="css"]http://mybeni.rootzilla.de/mybeNi/[/sourcecode]

Nun im Adminbereich unter Kommentare auf den Link des neu erstellten Kommentars klicken. Schon geht die “Patch”-Prozedur los …

Links:
Autor des ersten WordPress Wurms
via gulli “Wurm für WordPress”

Vielen Dank an Sommarholm für den Hinweis auf die neue Version!

Links:
Pagebar Plugin
Simple Tagging Plugin

In letzter Zeit zeigt mir mein WordPress semmelstatz Plugin immer mehr unbekannte Referrer an, von denen innerhalb weniger Minuten auf meinen Blog zugegriffen wurde. Bei diesen Referrern handelt es sich um den sogenannten Referrer-Spam.

Mit dieser Methode erhoffen sich die Spammer eine bessere Plazierung ihrer Seiten in Suchmaschinen. Viele Blogs veröffentlichen Statistiken über die letzten Besucher, in denen häufig auch die neuesten oder häufigsten Referrer auftauchen. Durch diese Backlinks kann die Seite des Spammers bessere Ränge in Google & Co. erlangen. Nur leider verfälscht dies auch die Blogstatistiken, was schon ärgerlich ist. Eine echte Lösung habe ich bisher nicht gefunden, da es auch noch nicht massiv aufgetreten ist. Verschlimmert sich jedoch der Referrer-Spam muss ich mir dementsprechende Maßnahmen überlegen.

Links:
Referrer-Spam Definition
via Station 9.111 “Spam auf anderen Wegen”