Social Media Widgets Plugin: SOFORT DEAKTIVIEREN!

Das populäre WordPress-Plugin „Social Media Widget“ wurde von den Sicherheitsexperten von Sucuri als böse Spamschleuder entlarvt: Versionen unterhalb von 4.0.1 enthalten den betreffenden Schadcode, der WordPress-Installationen mit Spam-Links verseucht. Da das offizielle WordPress Repository, aus dem das Social Media Widget heute vormittag zwischenzeitlich entfernt wurde, listet die Software mittlerweile bereits wieder.

Sucuri empfiehlt allerdings, das Plugin überhaupt nicht mehr zu verwenden – dieser Empfehlung kann ich mich nur anschließend. Bevor ich auf die Hintergründe dieses Problems eingehe, möchte ich Ihnen zuerst mögliche Alternativen für das Social Media Widget vorschlagen.

Alternativen zum Social Media Widget

Das böse Plugin wartet wahrhaftig nicht mit komplexen Funktionalitäten auf:, dient es doch einzig und allein dazu, die bekannten Social Media Buttons zu den eigenen Webpräsenzen aufzulisten. Diese Funktion ist nicht zu verwechseln mit Share-Buttons: diese ermöglichen das Teilen von Inhalten („Diese Seite auf Facebook / Twitter / Google+ etc. teilen“), während erstere einfach nur statische Links zu verschiedenen Profilen einbinden – nichts, was man nicht auch als „händisch“ gecodetes HTML als Text-Widget realisieren könnte. So hab ich’s hier auf datenschmutz gemacht. Werfen Sie einen Blick nach rechts, in der Seitenleiste werden die beschriebenen Buttons im Abschnitt „Folgen Sie mir auf:“ angezeigt.

Mittels Plugin geht’s komfortabler und mit hübschem Mouse-Over Effekt, wenngleich der Preis für diese Bequemlichkeit im vorliegenden Fall ein hoher sein kann: Google sperrt Webseiten, die solche Spam Injections enthalten, recht rasch und zuverlässig aus dem Suchindex aus. Also lieber nichts risktieren, das Social Media Widget sofort deaktiveren und durch eine der folgenden Alternativen – Reihenfolge nach Präferenz des Autors – ersetzen:

Social Media Feather: Auf Performance optimierte All-in-One Lösung mit Profil- und Sharing-Buttons in einem Widget, die Buttons können auch mit Shortcodes direkt in Postings und Pages eingebunden werden, zusäztliche Icon-Packs sind verfügbar.

Brankic Social Media Widget: Elegantes Widget mit ungewöhnlichem On-mouse-over Effekt und Icons für 28 soziale Netzwerke.

Acurax Social Media Widget: einfach zu konfigurierendes Widget mit verschiedenen Themepacks, Größen und Drag-and-Drop Sortierung inklusive Pinterest Button. Wer alle Feineinstellungen selbst treffen will, kauft die Pro-Version, die auch Share-Funktionalitäten integriert.

Floating Social Media Icon: vom selben Anbieter: die Buttons sind wahlweise nicht fix in der Seitenleiste positioniert, sondern „floaten“ unteren Bildschirmrand – das heißt, sie bleiben auch an dieser Position, wenn der Nutzer scrollt.

Social Media Tabs: wahlweise Widget oder Seitenleiste, die am Bildschirmrand schwebt: Social Media Tabs zeigt nicht nur die Buttons, sondern bindet die Streams der einzelnen Profile ein. Nach meinem Geschmack etwas zu viel Info auf engstem Raum und suboptimal bei der mobilen Nutzung.

Wie konnte es zum Spam-Angriff kommen?

Die technischen Details können interessierte am Sucuri-Blog nachlesen. Die große Frage ist nun, ob es sich um einen Einzelfall handelt, oder ob solche Plugin-Hacks in Zukunft üblich werden. Denn das Social Media Widget verhielt sich unauffällig, bis mit irgendeinem Update der Schadcode eingeschleust wurde:

What is really concerning about this, isn’t even the SPAM injection. That happens all the time, it’s the fact that the malicious payload found it’s way in the core files. It was then uploaded to the WordPress.org Plugin Repository.

Im Klartext: entweder hat der Anbieter des Plugins den Schadecode selbst eingeschleust, oder jemand hat sich seinen WordPress-Repository Zugang verschafft. Wie gewohnt reagierte das WordPress Core-Team äußerst rasch und professionell, dennoch bleibt ein riskanter Nachgeschmack bei bisher 900.000 Downloads.

Wie schützt man WordPress besser vor solchen Attacken?

Kein Web-CMS ist 100%ig wasserdicht, doch es gibt Plugins zur Abwehr potentieller Bedrohungen, die in keiner Installation fehlen sollten. Einen hervorragenden Überblick bietet der Artikel Best Security Plugins for WordPress.

Als erster Schritt bietet sich ein Scan der eigenen Seite mit dem Sucuri Sitecheck Tool, das einen möglichen Parasitenbefall recht zuverlässig anzeigt. Für Einsteiger empfiehlt sich ganz besonders WordPress Security, da dieses Plugin nicht nur die eigenen Installation auf mögliche Schwachstellen überprüft, sondern den Admin interaktiv und mit hohem Lerneffekt bei deren Behebung anleitet. Block Bad Querries (BBQ) erfordert keinerlei Konfiguration und blockiert selbständig bekannte Exloit-Zugriffe. Um alle ausgehenden Verbindung, die WordPress respektive einzelne Plugins, mitzuloggen und übersichtlich darzustellen, eignet sich der Netzwerk-Monitor Snitch.

Ein regelmäßiges Backup ist ohnehin Pflicht – mehr zu diesem Thema aus aktuellem Anlass nächste Woche hier am Blog – aber das müssen Sie sich gar nicht merken, abonnieren Sie doch einfach meinen Newsletter! :frog: