Internes

Lexikon-Plugin Encyclopaedia PRO

Kurz in eigener Sache: Soeben sind eine Reihe von Artikeln erneut erschienen.
Manche davon werdet Ihr schon kennen. Diese Neuauflage ließ sich nicht vermeiden.
Bisher setzte ich dafür das Lexikon-Plugin Encyclopaedia von Dennis Hoppe ein.

Nun machte mich aber mein Sysadmin auf folgenden Umstand aufmerksam:

Werbung

Ich habe mir das bei Dir installierte WordPress-Plugin „Encyclopedia Pro“ angeschaut.
Dabei habe ich den Eindruck, dass dieses Plugin sinnloserweise nach Hause telefoniert, wie man so sagt.

Hierbei sind mir die beiden Hooks in der Datei aufgefallen, die zum einen bei einer einfachen und unauthentifizierten GET-Anfrage an das Login-Formular um eine Dropdown-Liste aller Administrator-Benutzer des Blogs erweitern und zudem einen Login im Blog ermöglichen sofern an den Benutzernamen ein „*“ angehängt wurde und Benutzername und Passwort vom Server des Plugin-Autors bestätigt werden.

Die lokale Authentifizierung wird hierbei meiner Meinung nach komplett umgangen und die Datei scheint keinen anderen Nutzen als diesen zu haben. Ich stufe dieses Verhalten vorerst einmal als Backdoor ein und rate Dir, das Plugin nicht zu nutzen.

Ich selbst verstehe von diesen Mechanismen nicht genug. Ich habe es aber grob so verstanden, als ob das Plugin wichtige Zugangsdaten meines Blog an den Plugin-Entwickler sendet.
Wenn ich das richtig verstanden habe, könnte dieser unter Umständen dann auf mein Blog zugreifen. Ich weiß jetzt nicht, ob meine Zugangsdaten dort gespeichert werden. Wäre das so, wären dort ja die Zugangsdaten aller möglichen Verwender dieses Lexikon-Plugins bei einem möglichen Hackerangriff futsch.
Irgendwie scheint mir das alles etwas „unkoscher“ und ich habe deshalb das entsprechende Plugin rausgeworfen.

Die damit verwalteten Artikel, die hier im Bestatterweblog als Popup-Info verfügbar waren habe ich nun als normale Beiträge neu hier eingestellt und werde sie entsprechend verlinken.

Vielleicht kann der Plugin-Autor Dennis Hoppe aber auch Entwarnung geben und hat eine ganz plausible Erklärung für die „Backdoor“, die meinem Sysadmin und mir nicht eingefallen ist.
Immerhin ist Dennis Hoppe -wie mein Sysadmin schreibt- schlecht per Mail zu erreichen und hat sich auf ein entsprechendes nachfragendes Schreiben vom 3.8.2017 auch bis heute nicht gemeldet.
Vielleicht ist in der aktuellen Version die Backdoor auch schon raus, ich weiß es nicht. Trotzdem lasse ich lieber die Finger davon.

Bildquellen:


    Ich habe noch einmal die wichtigsten Schlagwörter (Hashtags) dieses Artikels für Sie zusammengestellt, damit Sie sich besser orientieren können:

    Schlagwörter: , ,

    Rubrik INTERNES

    In dieser Rubrik finden Sie alles über interne Vorgänge und Sachverhalte dieses Weblogs. Das Bestatterweblog.de ist die größte Ratgeberplattform zum Thema Bestattung und Trauer und bringt darüberhinaus immer wieder unterhaltsame Geschichten.

    Lesezeit ca.: 3 Minuten | Tippfehler melden | © Revision: | Peter Wilhelm 24. August 2017

    Lesen Sie doch auch:


    Abonnieren
    Benachrichtige mich bei
    5 Kommentare
    Inline Feedbacks
    Alle Kommentare anzeigen
    Kaspar
    6 Jahre zuvor

    moin moin,

    das klingt erschreckend. Habt ihr dem WordPress security-Team schon Bescheid gegeben?

    Das Plugin gehört in meinen Augen aus der WordPress-Plugin Sammlung geschmissen.

    viele Grüße,
    Kaspar

    Floutsch
    6 Jahre zuvor

    Klingt der Beschreibung nach nicht so, als seien Deine Zugangsdaten an den Pluginautor übermittelt worden. Sie zu ändern, nachdem das Plugin entfernt wurde schadet sber mit Sicherheit nicht – better safe than sorry. Es klingt eher so, als würde das Plugin weitere Logins zulassen, wobei der Pluginautor ein eingegebenes Passwort bei sich überprüft, es sich also bei ihm befindet. Grob vereinfacht: Du hast Administrator/geheim. Er hat die Liste Deiner Nutzer in WordPress. Bei an den Usernamen angehängtem „*“ prüft er dann statt in Deiner Usertabelle in seiner. Das Passwort ist ihm bekannt, weil es sich bei ihm befindet. Dafür ist es nicht nötig, dass es dasselbe ist. Wenn bei ihm Administrator(*)/hopperules hinterlegt ist, braucht er Deines nicht, weil ja geprüft wird, ob seines eingegeben wurde. Ganz exakt lässt sich nicht sagen, was genau geschieht, das ist eher educated guessing meinerseits. Aber keine wilde Spekulation wie in Frage/Antwort-Portalen. Es ist möglich, dass ihm das nur Tests ermöglichen soll und gar nicht für die öffentliche Version gedacht ist. Ebensogut kann es sein, dass es böse Absicht ist.… Weiterlesen »

    Sereina
    6 Jahre zuvor

    Kleiner Tipp: Evtl kannst du bei den Beiträgen das veröffentlichungsdatum rückdatieren, damit sie chronologisch am korrekten Ort erscheinen…

    6 Jahre zuvor

    Hallo Peter,
    ich bin eben auf der Suche nach einem Plugin mit den Funktionen wie bei eben beim Encyclopaedia Plugin. Dabei bin ich eben auch über diesen Artikel gestolpert.

    Gibt es Neuigkeiten zu dem Plugin und insbesondere zur Funktion des „Nach-Hause-Telefonierens“ bzw. hat sich der Entwickler des Plugins bei dir mittlerweile auf deine Nachfrage gemeldet?

    Würde mich über eine Rückmeldung sehr freuen.

    Beste Grüße
    Niclas




    Rechtliches


    5
    0
    Was sind Deine Gedanken dazu? Kommentiere bittex