Wördpress-security-großalarm des tages

Benutzt hier jemand wördpress mit dem „all in one SEO pack“? Warum? Etwa, weil da das zauberwort SEO drinsteht und ihr glaubt, dass es so hokus pokus mühelos mehr seitenbesucher gibt, die ihr mit reklamezumutungen in geld verwandeln könnt?

Ach, das ist ja gar nicht mein tema. 😉

Benutzt hier jemand wördpress mit dem „all in one SEO pack“? Das sollen ja doch so ein paar milljönchen nutzer sein…

Und schon die neue versjon installiert?

Wenn nicht, dann ist es jedem honk aus dem internet möglich, an euer blog eine HTTP-anfrage zu senden, die dazu führt, dass irgendwann später bei euch im blog irgendwelches völlig beliebiges javascript von diesem honk ausgeführt wird. Damit kann man dann… nur so ein beispiel… euer zugangstoken abschnorcheln, rausfunken und die gesamte webseit nach herzenslust pwnen. Und ihr dürft dann eine datensicherung zurückspielen (falls ihr überhaupt eine datensicherung habt) und eventuell wochen- bis monatelang mit der wenig vorteilhaften reputazjon leben, schadsoftwäjhr zu verteilen, spämm zu senden oder phishing-seiten zu hosten. Und dann hilft auch alles SEO nicht mehr, wenn ihr auf jeder blacklist steht…

Also, macht schnell einen updäjht von dem ding, denn die kriminellen schlafen nicht und der angriff darauf ist kinderleicht!

Und vielleicht solltet ihr bei dieser gelegenheit mal drüber nachdenken, ob ihr die ganzen plugins für euer wördpress wirklich braucht… denn jede erhöhung der komplexität einer installazjon ist das gegenteil von sicherheit.

Security des tages

Die aktuelle Firmware 1.0.20 des WLAN-Routers EVW3226 von Ubee ist verwundbar. Setzt ein Angreifer bei der Lücke an, kann er ohne Authentifikation Einstellungen manipulieren und im schlimmsten Fall das Gerät kompromittieren […] In Deutschland setzt der Internet-Provider Unitymedia das Gerät bei Kunden ein

Hej, und lasst euch nicht davon beruhigen, dass der angriff „nur lokal“ möglich ist! Wenn verbrecher irgendeine webseit mit permanent-XSS-anfälligkeit verseuchen, dann wird das admin-passwort eben unauffällig über javascript abgeholt¹, wenn man diese webseit ansurft — wenn man jeder website das privileg einräumt, beliebigen kohd im brauser ausführen zu dürfen, ist eine hürde wie „nur lokal“ eben keine hürde mehr. Deshalb gibt es noscript.

¹Natürlich kann das javascript auch über ein ad verbreitet werden. Aber es benutzt ja hoffentlich jeder einen adblocker!

Ich habe schon gedacht…

Ich habe ja schon gedacht, dass die kwalitätsjornalisten der tagesschau-redakzjon des BRD-staatsfernsehens ARD diese meldung aus der europäischen unjon gar nicht mehr bringen würden. Einfach, weil es nicht sein könne, dass es in der europäischen unjon so etwas wie zensur gäbe. Damals, in der aktuellen kamera, gabs ja auch nie kriminalität, arbeitslosigkeit, drogensucht und selbstmorde im realsozjalistischen paradies der DDR…

Nun, spät haben sie es gemeldet, aber sie haben es doch noch gemeldet. Bis jetzt war fußball ja auch ungleich wichtiger als derartige staatspropaganda in einem nachbarstaat…

Ach, und übrigens, liebe lügenpresse-skandierer mit PEGIDA-hintergrund: an polen könnt ihr schon mal vor eurem kreuzchenschlagen zur bummstagswahl sehen, was passiert, wenn man konservativ-populistische parteien in die regierung wählt, wie sie in der BRD zum beispiel als AFD zur wahl stehen.