Heise berichtete gestern über einen Versuch von Hackern, über 900.000 Wordpress-Seiten zu hacken. Seit 28. April versuchte eine Hackergruppe, von über 24.000 verschiedene IP-Adressen aus in über 900.000 Wordpress-Seiten einzubrechen. In der aktuellen Wordpress-Version konnte das den Hackern nicht gelingen.
Es geht auch hier wieder um den Klassiker: alte, schon länger gepatchte Sicherheitslücken werden gesucht und beim Auffinden ausgenutzt. Gefunden haben die Hacker sicher einige Schwachstellen, aber nur auf solchen Seiten, die nicht aktualisiert wurden. Daher wie immer auch an dieser Stelle nochmal der Rat: Unbedingt alle Updates einspielen und nicht mehr benötigte Erweiterungen / Plugins deinstallieren bzw. entfernen. Auch wenn die Plugins nicht genutzt werden, die Sicherheitslücke bleibt mit der PHP-Datei auf dem Server, selbst wenn das Plugin deaktiviert ist.