Lexikon-Plugin Encyclopaedia PRO

Kurz in eigener Sache: Soeben sind eine Reihe von Artikeln erneut erschienen.
Manche davon werdet Ihr schon kennen. Diese Neuauflage ließ sich nicht vermeiden.
Bisher setzte ich dafür das Lexikon-Plugin Encyclopaedia von Dennis Hoppe ein.

Nun machte mich aber mein Sysadmin auf folgenden Umstand aufmerksam:

Ich habe mir das bei Dir installierte WordPress-Plugin „Encyclopedia Pro“ angeschaut.
Dabei habe ich den Eindruck, dass dieses Plugin sinnloserweise nach Hause telefoniert, wie man so sagt.

Hierbei sind mir die beiden Hooks in der Datei aufgefallen, die zum einen bei einer einfachen und unauthentifizierten GET-Anfrage an das Login-Formular um eine Dropdown-Liste aller Administrator-Benutzer des Blogs erweitern und zudem einen Login im Blog ermöglichen sofern an den Benutzernamen ein „*“ angehängt wurde und Benutzername und Passwort vom Server des Plugin-Autors bestätigt werden.

Die lokale Authentifizierung wird hierbei meiner Meinung nach komplett umgangen und die Datei scheint keinen anderen Nutzen als diesen zu haben. Ich stufe dieses Verhalten vorerst einmal als Backdoor ein und rate Dir, das Plugin nicht zu nutzen.

Ich selbst verstehe von diesen Mechanismen nicht genug. Ich habe es aber grob so verstanden, als ob das Plugin wichtige Zugangsdaten meines Blog an den Plugin-Entwickler sendet.
Wenn ich das richtig verstanden habe, könnte dieser unter Umständen dann auf mein Blog zugreifen. Ich weiß jetzt nicht, ob meine Zugangsdaten dort gespeichert werden. Wäre das so, wären dort ja die Zugangsdaten aller möglichen Verwender dieses Lexikon-Plugins bei einem möglichen Hackerangriff futsch.
Irgendwie scheint mir das alles etwas „unkoscher“ und ich habe deshalb das entsprechende Plugin rausgeworfen.

Die damit verwalteten Artikel, die hier im Bestatterweblog als Popup-Info verfügbar waren habe ich nun als normale Beiträge neu hier eingestellt und werde sie entsprechend verlinken.

Vielleicht kann der Plugin-Autor Dennis Hoppe aber auch Entwarnung geben und hat eine ganz plausible Erklärung für die „Backdoor“, die meinem Sysadmin und mir nicht eingefallen ist.
Immerhin ist Dennis Hoppe -wie mein Sysadmin schreibt- schlecht per Mail zu erreichen und hat sich auf ein entsprechendes nachfragendes Schreiben vom 3.8.2017 auch bis heute nicht gemeldet.
Vielleicht ist in der aktuellen Version die Backdoor auch schon raus, ich weiß es nicht. Trotzdem lasse ich lieber die Finger davon.

PDF erzeugen
Peter Wilhelm24. August 2017

5 Kommentare von 138942.

  1. moin moin,

    das klingt erschreckend. Habt ihr dem WordPress security-Team schon Bescheid gegeben?

    Das Plugin gehört in meinen Augen aus der WordPress-Plugin Sammlung geschmissen.

    viele Grüße,
    Kaspar

  2. Klingt der Beschreibung nach nicht so, als seien Deine Zugangsdaten an den Pluginautor übermittelt worden. Sie zu ändern, nachdem das Plugin entfernt wurde schadet sber mit Sicherheit nicht – better safe than sorry.

    Es klingt eher so, als würde das Plugin weitere Logins zulassen, wobei der Pluginautor ein eingegebenes Passwort bei sich überprüft, es sich also bei ihm befindet.

    Grob vereinfacht: Du hast Administrator/geheim. Er hat die Liste Deiner Nutzer in WordPress. Bei an den Usernamen angehängtem „*“ prüft er dann statt in Deiner Usertabelle in seiner. Das Passwort ist ihm bekannt, weil es sich bei ihm befindet. Dafür ist es nicht nötig, dass es dasselbe ist. Wenn bei ihm Administrator(*)/hopperules hinterlegt ist, braucht er Deines nicht, weil ja geprüft wird, ob seines eingegeben wurde.

    Ganz exakt lässt sich nicht sagen, was genau geschieht, das ist eher educated guessing meinerseits. Aber keine wilde Spekulation wie in Frage/Antwort-Portalen.

    Es ist möglich, dass ihm das nur Tests ermöglichen soll und gar nicht für die öffentliche Version gedacht ist. Ebensogut kann es sein, dass es böse Absicht ist. Das kann nur Herr Hoppe klären.

    Bei Sicherheit tendiere ich immer eher im Zweifel *gegen* den Angeklagten zu entscheiden. Du als Betreiber solltest Zugänge vergeben und damit Admin-Zugriff gewähren können. Ob Absicht oder nicht, sowas geht nicht in Ordung.

    Wie Kaspar schon schrieb, solltest Du das Plugin melden.

    Da es dann evtl. schnell geändert oder entfernt wird, würde ich mich freuen, wenn Du mir die betroffene Version zukommen lassen könntest.

    Dein Blog hat mir beim Tod meiner Mutter vor 5 Jahren sehr geholfen. Und wenn es nur der Befriedigung Deiner Neugierde dient – und Du bist ja technisch interessiert – wäre es mir eine Ehre, Dir auf dem Weg ein klein wenig Gutes tun zu können.

    Allerbeste Grüße
    Floutsch

    • @Floutsch: Herzlichen Dank. Ja, wir können alle nur mutmaßen, die letztliche Offenbarung kann nur der Pluginautor liefern.
      Aber mir widerstrebt es einfach, die Zugangskontrolle -in welcher Form auch immer- aus der Hand zu geben. Das sollte komplett hier bleiben und nur von mir gemacht werden können.

      Nun ist es so, dass wir auf dieses Plugin und sein seltsames Verhalten überhaupt erst aufmerksam geworden sind, weil wir auf der Suche nach dem Übeltäter waren, der das Blog und seine Ladezeiten stark verlangsamte.
      Ob nun Encyclopaedia PRO mit seinem „Nach-Hause-Telefonieren“ mit dafür verantwortlich war, weiß ich gar nicht. Auf jeden Fall ist uns aufgefallen, dass das Plugin einfach mehr tut, als einzelne Beiträge in einem Lexikon zu pflegen.

      Inzwischen haben wir die betroffenen Beiträge aber in normale Blogbeiträge überführt und wie Lexikoneinträge entsprechend verlinkt.

      Das Plugin ist also -obwohl ich für die PRO-Version bezahlt habe- nunmehr hinfällig geworden.

  3. Kleiner Tipp: Evtl kannst du bei den Beiträgen das veröffentlichungsdatum rückdatieren, damit sie chronologisch am korrekten Ort erscheinen…

  4. Hallo Peter,
    ich bin eben auf der Suche nach einem Plugin mit den Funktionen wie bei eben beim Encyclopaedia Plugin. Dabei bin ich eben auch über diesen Artikel gestolpert.

    Gibt es Neuigkeiten zu dem Plugin und insbesondere zur Funktion des „Nach-Hause-Telefonierens“ bzw. hat sich der Entwickler des Plugins bei dir mittlerweile auf deine Nachfrage gemeldet?

    Würde mich über eine Rückmeldung sehr freuen.

    Beste Grüße
    Niclas

Schreibe einen Kommentar!

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


Bitte beachte die Nutzungsbedingungen des Bestatterweblogs!

Du bist ein Troll? Fein! Dir kann geholfen werden. Klicke hier!

Dein Kommentar ist nicht erschienen? Dann klicke bitte hier für weitere Informationen!

Diese Smileys kannst Du nutzen, und das bedeuten die Zeichen oben in der Textbox.