Wer das Social Media Widget im Einsatz hat, sollte überlegen, ob er es weiterhin nutzen will. In den letzten Tagen gab es Meldungen, dass dieses Widget in der neusten Version (4.0) Schadcode verteilt hat. Laut texto wurde das Plugin immerhin mehr als 900.000 Mal herunter geladen, es sollte also auch der ein oder andere deutsche Nutzer mit dabei sein. WordPress hat relativ schnell reagiert und das Plugin vorerst aus dem Plugin-Verzeichnis entfernt um nicht noch mehr Installationen mit der neusten Version zu infizieren.
Wer noch eine ältere Version hat sollte trotzdem prüfen ob er das Plugin weiter nutzen will. Ich habe bei einer älteren Version (3.3) zwar keine Schadcode entdeckt, das Plugin schleuste aber trotzdem Spamlinks ein:
<p>By PLOPL <a href=“http://primaryloans.co.uk/“ title=“Payday Loan„>payday loan</a></p>
Die Links sind nicht nur versteckt sondern zeigen auch auf Seiten, die sehr verdächtig sind, wirklich gesund sind diese Links für die eigenen Webseite daher nicht. Google reagiert ja ohnehin allergisch auf Links, die nicht direkt angezeigt werden und schlechte Verlinkung kann sogar zu einer Abstrafung führen. Auch die älteren Versionen des Plugins sind daher nicht empfehlenswert.Prüft man die Backlinks der verlinkten Seite sind auch viele deutsche Seiten darunter. Das Problem ist also nicht klein und betrifft einige Blogs. Eine Möglichkeit diese Links zu deaktivieren gibt es in den Einstellungen nicht.
Wer die Spam-Links los werden möchte muss das Plugin wohl ober übel deaktivieren.
So praktisch die Plugin-Funktionalität bei den modernen CMS-Systemen ist. Immer auf dem laufenden zu bleiben welches Plugin momentan Sicherheitslücken aufweist oder wie hier Schadcode verteilt wird fast ein Ding der unmöglichkeit.
Und mit jeder neuen Plugin-Funktionalität holt man sich etwas mehr Unsicherheit auf die eigene Webseite.