Eine vor Kurzem bekannt gewordene Sicherheitslücke im WordPress-Plugin MailPoet wird gerade verstärkt ausgenutzt, um darüber ganze Webserver zu kapern. Schon am 1. Juli wurde deshalb das Update 2.6.7 bereitgestellt, das diese Sicherheitslücke schließt.

Das Problem besteht darin, dass man durch diese Sicherheitslücke beliebige PHP-Dateien auf den Server hochladen kann, die dann dort alles Mögliche machen, beispielsweise Spam versenden, Malware hosten oder auf geteilten Servern andere Benutzer infizieren.

Die erste sichere Version des MailPoet-Plugins für WordPress ist die 2.6.7, aktuell ist die Version 2.6.9, und wer zumindest das Update2.6.7 noch nicht installiert hat, sollte das jetzt umgehend machen.

Wenn eine WordPress-Installation erst mal infiziert ist, reicht das Updaten nicht aus, dann muss hochgeladener Schadcode mühsam manuell auf dem Server gesucht und eliminiert werden…