WordPress 2.6.4 Download Fake

Ideen haben die Leute, da guckt man immer wieder komisch. In der Blogszene wurden die Augen groß, als WordPress 2.6.4 zum Download angeboten wurde. Nur handelte es sich dabei um ein gefaktes WordPress, welches Daten auslesen kann, wenn man mindestens 6 registrierte Benutzer im WordPress hat. Im Adminbereich auf dem Dashboard wurde die News zum WordPress 2.6.4 Download per RSS angezeigt. Um diese dort zu listen, hat man wahrscheinlich die alte Sicherheitslücke benutzt, die seit WordPress 2.6.3 nicht mehr existiert. Auf meinem Dashboard habe ich es bei keinem Weblog von mir sehen können. Die Jungs von WordPress Deutschland wissen auch noch nicht ob die WordPress DE-Version überhaupt betroffen war.

Der Versuch mit dem WordPress 2.6.4 Download die Daten von Benutzern und Bloggern zu klauen, war sicher noch nicht der Letzte. Allerdings ist damit deutlich, dass man sich nicht auf fremde Quellen wie wordpresz.org verlassen sollte, sondern Software immer direkt an der offiziellen Quelle downloadet. Bei WordPress kann man sich sehr einfach schützen. Wenn eine neue Version von WordPress zur Verfügung steht, muss eine Bekanntmachung im WordPress.org Blog oder auf dem deutschen WordPress Blog stehen. Steht dort nichts von der neuen Version, sollte man die Finger vom Download wegnehmen. Am Ende hat jedes WordPress noch die Statusleiste unter dem Menü, in dem angezeigt wird wenn eine neue Version verfügbar ist.