Ein Sicherheitsunternehmen warnt vor einer Zero-Day-Lücke im WordPress Plugin Fancybox.
Die Fancybox generiert eine Lightbox für WordPress. Offensichtlich ist Fancybox angreifbar. Infizierte Installationen kennzeichnen sich dadurch, dass ein iFrame namens „203koko“ geöffnet wird. Es kann Malware eingeschleust werden. Wie das genau funktioniert, wird nicht mitgeteilt.
Es gibt noch keinen Patch. Daher wird empfohlen, Fancybox ersteinmal zu deaktivieren.
Fancybox ist recht weit verbreitet und verzeichnet als Alternative zu einer jQuery Lightbox über eine halbe Million Downloads weltweit.
Blog starten – wie fängt man das richtig an?
Gibt es so etwas wie einen schnellen einfachen Start als frischgebackener Blogger? Auf Pinterest haben wir eine Infografik gefunden, die vielleicht den Einstieg erleichtern kann.
Wichtig ist demnach, unique und authentisch zu sein, aber zusätzlich kommt es sehr darauf an, seinen eigenen Stil zu pflegen und durch Vernetzung die Blog-Site voranzubringen. Die Infografik gibt ein paar Impulse dafür.
„Blog starten – wie fängt man das richtig an?“ weiterlesen
Phising-Mail will WordPress-Admins in die Plugin-Falle locken
Mehrere Onlinedienste wie heise.de und golem.de berichten unter Berufung auf http://blog.sucuri.net/2013/12/phishing-emails-to-install-malicious-wordpress-plugins.html von einer aktuellen „sozialen“ Angriffswelle, die sich gegen die Administratoren von WordPress richtet.
„Phising-Mail will WordPress-Admins in die Plugin-Falle locken“ weiterlesen
goneo clickStart: Neue Versionen für WordPress, B2Evolution, OpenCart sowie Joomla 2.5 und 3
Wir haben die Versionen einiger Software-Pakete, die Sie bei goneo mit wenigen Klicks einsatzbereit installieren können, auf den neusten Stand gebracht. Kunden von goneo Homepage- bzw. Webhosting-Basic Paketen, Webserver Business und Business Plus sowie die Mieter eines Managed Servers können nun folgende neue Versionen installieren.
„goneo clickStart: Neue Versionen für WordPress, B2Evolution, OpenCart sowie Joomla 2.5 und 3“ weiterlesen
Angriffe auf WordPress – Installationen
Wir stellen in den letzten Tagen verstärkte Angriffe auf WordPress-Installationen fest. Gestern haben wir einige IPs geblockt, von denen Angriffe auf die Login-Seiten von WordPress stattfanden.
Einige User berichten von erhöhtem Spam-Aufkommen trotz Akismet. Beide Phänomene könnten miteinander in Zusammenhang stehen. Es gibt einige Tipps, um WordPress sicherer zu machen, die zum Beispiel auf dieser Seite beschreiben sind. Dazu gehört, dass man den sensiblen Loginbereich absichern kann, die Anzahl der fehlerhaften Loginversuche begrenzt oder config-Dateien schützt.
Sicher muss man abwägen, wie stark man in den Standardcode eingreifen will. Schließlich kommen die neuen WordPress-Updates in schneller Folge, so dass es gut wäre, die eingebauten Updateroutinen verwenden zu können.
Sicher ist aber auch die Auswahl der Plugins ein sensibler Punkt: Aktuell wird das beliebete „Social media plugin“ verdächtigt, ein Einfallstor für Angreifer zu sein. Insofern wäre es derzeit keine schlechte Idee, das eigene Blog daraufhin zu überprüfen, ob dieses Plugin verwendet wird. WordPress selbst scheint es aus dem Repository herausgenommen zu haben.
Mit „Better WP Security“ liegt ein Plugin vor, das die Sicherheitsaspekte von WordPressinstallationen überprüft und dem Nutzer gestattet, einige sensible Bereiche anzupassen. Allerdings würden wir Ihnen empfehlen, vor dem Einsatz ein komplettes Backup des Auftritts herzustellen ( FTP und MySQL).
goneo-clickStart: WordPress 3.2 verfügbar
Seit gestern ist die beliebte Blog- und Homepage-Software WordPress in der neuesten Version 3.2 erhältlich. Wir nahmen uns dies zum Anlass, die aktuelle Version ab sofort auch innerhalb unserer kostenlosen goneo-clickStart-Anwendungen freizugeben. Wer über unser Kundencenter nun WordPress auf seinem Webspace installiert, erhält die neueste Version der Anwendung.
Durch das bequeme Update-System von WordPress ist es natürlich auch allen Kunden mit bereits installierten WordPress-Anwendungen möglich, automatisiert über das Dashboard auf die gestern freigegebene Version zu aktualisieren. Bei Fragen steht Ihnen unser Kundenservice gern zur Verfügung.