Vor ein paar Tagen habe ich mich vom All in One SEO Pack hier im Blog verabschiedet, da das letzte Update immer ausstieg. Mein Blog war dann kaputt. Nein, nicht direkt kaputt, aber er verharrte im Wartungsmodus und war nicht ansprechbar. Das Update des Plugins war zur Version 2.3.7 des beliebten Plugins. Und nun bin ich das Plugin los. Ich nutze wieder wpSEO, wofür ich mal Geld ausgegeben hatte. Jedenfalls sehe ich heute kritische Warnungen bezüglich All in One SEO Pack, und da muss ich was dazu schreiben.
Ob bei meinen obigen Aktionen, das Update zu installieren, wirklich alles gut gegangen ist, weiß ich nicht. Es wurde halt nur die Version 2.3.7 angezeigt. Nachdem ich den Wartungsmodus immer manuell wieder abgeschaltet hatte, indem ich in der WordPress-Installation die Datei „.maintenance“ entfernt habe, war ich es dann irgendwie leid und habe mich von dem Plugin getrennt. Und was lese ich heute?
Serious Vulnerability in All in One SEO Pack Plugin 2.3.6.1 and earlier
Also eine ernst zu nehmende Sicherheitslücke in genau diesem Plugin. Zwar bei Versionen vor dieser ominösen 2.3.7, aber bei solchen Meldungen bekomme ich immer ein flaues Gefühl in der Magengegend. Diese Meldungen kursieren schon den ganzen Tag durchs Internet. Und so kam ich gar nicht um diese Meldungen herum. Ich meine, ist ja auch klar: Das All in One SEO Pack ist eins der beliebtesten Plugins bei WordPress. Und somit waren ein paar viele Blogger irgendwie nervös.
Eigentlich blockiert eine Funktion Spam Bots aller Art. Wenn blockierte Bots nachverfolgt werden sollen, protokolliert das Plugin die Zugriffe und stellt sie dann dar. Es wurden aber keine Code-Schnipsel herausgefiltert. Und so war es für mögliche Angreifer möglich, schadhaften JavaScript-Code einzufügen, der dann beim Aufrufen der Darstellung der Protokollierung ausgeführt wird. Das Ganze betrifft wohl das All in One SEO Pack in Version 2.3.6.1 und früher. Aus diesem Grund soll man rasch aktualisieren.
Jetzt sind mir verschiedene Blogger bekannt, die einfach nicht jedes Update mitnehmen. Warum das so ist, ist mir nicht klar. Es kann eigentlich nur Faulheit sein. Aber mit so einer Nachlässigkeit schafft man unter Umständen richtige Gefahren. Ich kann mir denken, dass mit der HTML-Darstellung des Bot Trackings auch JavaScript-Code ausgeführt wird, der irgendwelchen Schadcode nachlädt und somit vielleicht Besucher-Computer infiziert. Nee, das ist pure Fahrlässigkeit.
Der Entwickler Michael Torbert und sein Team haben das Plugin vor ein paar Tagen aktualisiert. Wer es nutzt, sollte den Update-Hinweis im Dashboard von WordPress erhalten. Es spricht nichts, aber auch gar nichts dagegen, Updates für Plugins oder WordPress zeitnah zu installieren. Warum das bei mir nicht so sauber lief, ist nicht klar. Aber ich würde hier erstmal nicht die Schuld beim Plugin suchen. Also tun Sie sich einen Gefallen und aktualisieren Sie das Plugin. Sie leben sicherer damit.