Heute Morgen habe ich nach dem Einloggen ins Backend für meinen Blog wieder die Meldung bekommen, dass unter anderem für das Plugin WPtouch ein Update vorliegt. Ich installiere diese in der Regel immer direkt und prüfe anschließend, ob noch alles wie vorher funktioniert.
Mittags habe ich dann bei Golem.de erfahren, wieso WPtouch aktualisiert wurde. Bei drei bekannten Plugins (neben WPtouch waren es AddThis und W3 Total Cache) wurde Schadcode in das SVN Repository eingeschleust. Wie genau es dazu kam ist nicht bekannt. Es ist aber zu vermuten, dass die Passwörter der Plugin-Autoren geknackt wurden. Details zu den Schäden, die der Schadcode hätte anrichten können, wird zur Zeit vom WordPress Team geprüft.
Die Folgen
Wie bei Golem.de nachzulesen war, wurden die Passwörter zurückgesetzt. Ich ging zuerst davon aus, dass es sich nur auf die Passwörter der drei Plugins bezieht. Bei einer kleinen Überarbeitung einer meiner Plugins musste ich dann aber feststellen, dass die Passwörter aller WordPress Nutzer zurückgesetzt wurden. Ich habe also auch meines zurückgesetzt und dabei auf ein sichereres geändert.
Nachdem ich mit meinen Änderungen fertig war und diese per Commit in das SVN Repository gestellt habe wurde ich dann natürlich erst einmal nach dem neuen Passwort gefragt. Ein paar Sekunden später hatte ich auch schon eine Mail von WordPress in meinem Postfach. Darin war der Commit inklusive des Changelogs zu finden. Mit dieser Maßnahme wird zwar nicht verhindert, dass Schadcode ins Repository eingeschleust wird. Aber da es ca. 10min dauert, bis eine neue Version auch den Nutzern zum Download angeboten wird, sollte es dem Plugin-Autoren möglich sein, den Code wieder raus zu nehmen.
Fazit
Niemand darf blind einem Plugin vertrauen, auch wenn es von einem seriösen Entwickler stammt. Aber es ist vorbildlich, wie WordPress auf diesen „Einbruch“ reagiert hat. WordPress ist noch immer eine der sichersten CMS- und Blogging-Systeme, wie verschiedene Test immer wieder zeigen. Auch durch die sehr aktive Community werden solche Sicherheitslücken in Zukunft vermutlich sehr schnell gefunden und behoben.