Wie verschiedene Blogs (u.a. das Schweizer WordPress Magazin, BloggingTom) berichten, wurde auf einer gefakten Webseite ein neues WordPress 2.6.4 (welches es nicht gibt) zum Download angeboten. Dieses WordPress war jedoch zum Datenklau korrumpiert! Die Meldung zur Verfügbarkeit des vermeintlichen Updates wurde leider direkt im RSS-News Dashboard-Widget im Adminmenü angezeigt – dies ist möglicherweise auf die Sicherheitslücke zurückzuführen, die in WordPress 2.3.6 geschlossen wurde. Auch ist nicht klar, ob aufgrund der wahrscheinlichen Manipulation des Feeds überhaupt WordPress‘ der DE-Version betroffen waren.
Die entsprechende Website (wordpresz.org) ist zwar nicht mehr erreichbar, aber das war nicht der erste und vermutlich auch nicht der letzte Versuch von Betrügern Daten auszuspähen. Also bleibt wachsam! Achtet darauf, dass ihr WordPress nur von vertrauenswürdigen Quellen herunterladet. Und im Zweifelsfall gilt: Bekanntmachungen über neue Releases gibt es im Blog von wordpress.org und auch zeitnah hier bei uns im Blog. Außerdem zeigt die eigentliche Versionsbenachrichtigungsleiste im Dashboard an, welche Version gerade aktuell ist.

Nachtrag: Die gefälschte Version war übrigens nur für Blogs gefährlich, welche mindestens sechs registrierte Benutzer haben bzw. hatten, da erst dann das Cookie ausgelesen (und an die Datenspäher gesendet) wurde, wenn sich ein Benutzer einloggte, dessen ID größer als 5 ist.

Versionsbenachrichtigung im Dashboard

Versionsbenachrichtigung im Dashboard