Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


„Social Media Widget“ für WordPress

Donnerstag, 11. April 2013, 21:48 Uhr

Plugin-Spam, die WordPress um eine im Regelfall unerwünschte Zusatzfunktion „anreichert“, ist das recht beliebte „Social Media Widget“ für WordPress.

Mitarbeiter der Sicherheitsfirma Sucuri haben das WordPress Social-Media-Widget Version 4.0 als Quelle von Spam ausgemacht. Es soll Werbe-Spam der Sorte „Pay Day Loan“ auf Webseiten einschleusen […] Das Widget führt ein PHP-Skript von einer Drittanbieter-Seite aus – der Code zum Einschleusen von Spam wurde sogar etwas optimiert.

Die ganze Geschichte gibts bei Heise Online¹

Es gibt eben keinen Kanal, über den nicht gespammt wird – die „bequemen“ Plugin-Updates und -Installationen moderner CMS- und Blogsysteme können von Schurken leicht dazu verwendet werden, aus einer persönlichen oder gar gewerblichen Website eine kriminelle Spamschleuder des üblen SEO-Packs zu machen. Das entsprechende Plugin für Joomla ist übrigens ebenfalls betroffen.

Auch, wenn mittlerweile eine bereinigte Version heruntergeladen werden kann: Ich würde einem Software-Anbieter, der sich mit Spam versucht hat, nicht das Privileg einräumen, noch einmal auf einem von mir (übrigens auch juristisch) verantworteten Serverrechner Code auszuführen. Eine Enschuldigung wie diese [Die schnelle Übelsetzung ist von mir]…

Es tut uns wirklich leid, dass wir diese Einfügung von Spam zugelassen haben. Wir haben mit unserem Plugin-Code den falschen Leuten vertraut und übernehmen die volle Verantwortung. Wir sind im Grunde genommen ein Marketing-Unternehmen, wir sind in Wirklichkeit keine Entwickler. Deshalb mussten wir für größere Updates und Verbesserungen Hilfe außerhalb unseres Hauses suchen. Einige dieser Leute betrogen uns und missbrauchten unser Vertrauen und unsere Unerfahrenheit. Wir hatten keine Vorstellung davon, dass der schädliche Code tatsächlich schädlicher Code war oder so etwas tun könnte. Wir gingen einfach nach dem, was uns von den Leuten erzählt wurde, denen wir mit dem Plugin-Code vertrauten. Wir werden diesen Fehler nicht noch einmal machen.

…wirft nicht nur die Frage auf, wie in diesem Fall über solche Sprechblasen hinausgehend das Übernehmen von Verantwortung aussehen soll; einer Verantwortung, die so richtig „voll“ übernommen wird, damit man die kalte Pflichtübung dieser Phrase auch deutlich spüre. Was wird die Entschädigung für mehrere hunderttausend Blogbetreiber sein, die infolge der SEO-Spam in ihrem Blog von Google abgestraft wurden und die in den Browsern nur noch mit einer Warnmeldung wegen schädlichen Codes angezeigt werden? Ja, Google straft Spamschleudern ab. Und wer jemals eine Leiche verstecken muss, der sollte einfach die zweite Seite eines Google-Suchergebnisses nehmen, das ist ein verdammt guter Ort, an den niemals jemand nachschauen wird. :mrgreen:

Nein, diese Entschuldigung zusammen mit dem Rest des Textes belegt auch, dass es nicht die geringste Qualitätssicherung gegeben hat – Marketing-Leute (das sind gewerbsmäßige, also für diese Sauerei „Leistung“ bezahlte Lügner) wollten sich einen werbewirksamen Namen als Plugin-Entwickler machen und hatten leider von Tuten und Blasen keine Ahnung, so dass man ihnen jeden Code andrehen konnte. Warum sollten die beim nächsten Mal besser sein? Weil sie es versprechen? Mit ihrem tollen Namen „Blink Web Effects“? Nachdem sie im Support-Forum die „volle“ Verantwortung übernommen haben? Wer dabei Vertrauen schöpft, der glaubt auch an den Weihnachtsmann.

Ich bin mir sicher, dass es Alternativen zu den Plugins dieser Spamklitsche gibt, die in der Entschuldigung noch einmal deutlich gemacht hat, dass man „ihren“ Code auf keinem Server ausführen sollte, an dem einem etwas liegt.

¹Ein warmes Danke in die Karl-Wiechert-Allee, dass ich auch unter den Bedingungen des demnächst gültigen Leistungsschutzrechts bei meinem Link auf Heise ein angemessenes Zitat verwenden darf…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert