Veröffentlicht von & unter Wordpress.

Wie der Sucuri Blog heute mitteilte, liefert das bekannt SweetCAPATCHA Addon Adware aus. SweetCAPATCHA ist ein Sicherheits Service für verschiedene Platformen, welches u.a. für WordPress, PHP, Drupal, Joomla und JavaScript angeboten wird.



Wie Securi mitteilte, wird ein AdScript ausgeführt. Welches Code nachläd und ausführt. Teilweise wurden Popups und augenscheinliche Error Messages geöffnet. Die Links in den generierten PopUps wiesen wohl teilweise mit Trojanern verseuchte Webseiten auf, wie Sucuri aufführte. Damit ist es nicht mehr als harmlose Adware einzustufen.

Die Frage ist nun, ist dies vom hersteller so gewollt oder wurde der Dienst vielleicht gehackt? Schaut man in die Term of Use des SweetCAPATCHA Addons, dann sieht man, dass der Hersteller sich eine Hintertür für Drittanbieter Software offen gelassen hat.

5.2 You acknowledge that within the sweetCAPTCHA service and/or sweetCAPTCHA API, There might be included 3rd party content which will be displayed for the purpose of user interaction. This content might include but will not be limited to ads, banners, links, search engine input fields and etc.

Ich kann jedem nur empfehlen das Addon von seinem Server zu nehmen. Ein Addon welches Code nachläd, dazu noch möglicherweise von Drittanbietern, sollte man seinen Usern und sich selbst nicht zumuten. Mögliche rechtliche Konsequenzen sind durch solch ein Addon auch nicht ausgeschlossen!



Tipp: Ich bin selbst dazu übergegangen, nur noch selbstgeschriebene oder vertrauenswürdige Addons zu nutzen die ich nicht selbst erstellen kann. Der Einsatz von vielen Addons, welche bei den gängigen CMS Systemen gerne genutzt werden, sollte man immer abwägen ob man dieses wirklich braucht. Mit jedem Addon macht man den Server und die Auslieferung der Seite nicht nur langsamer, sondern man erhöht auch gleich die Gefahr von Sicherheitslücken. Wer ungeprüft Addons installiert handelt ggf. sogar fahrlässig.