WICHTIG:
Quelle: de.wordpress.org
Das WordPress-Sicherheitsteam ist sich mehrerer laufender Phishing-Angriffe bewusst, die sich sowohl als „WordPress-Team“ als auch als „WordPress-Security-Team“ ausgeben und versuchen, Administrator*innen davon zu überzeugen, ein Plugin auf ihrer Website zu installieren, das Malware enthält.
Das WordPress-Security-Team wird dich niemals per E-Mail auffordern, ein Plugin oder Theme auf deiner Website zu installieren, und wird niemals nach einem Admin-Benutzernamen und -Passwort fragen.
Wenn du eine unaufgeforderte E-Mail erhältst, die behauptet, von WordPress zu stammen und die ähnliche Anweisungen wie die oben beschriebenen enthält, ignoriere die E-Mails und melde sie bei deinem E-Mail-Anbieter als Spam.
Diese E-Mails verweisen auf eine Phishing-Website, die aussieht als wäre sie das WordPress-Plugin-Verzeichnis. Es handelt sich um eine Domain, die nicht zu WordPress oder einem verbundenen Unternehmen gehört. Sowohl Patchstack (engl.) als auch Wordfence (engl.) haben Artikel verfasst, in denen sie weitere Einzelheiten erläutern.
Offizielle E-Mails des WordPress-Projekts:
Das WordPress-Security-Team wird nur über die folgenden Kanäle mit WordPress-Benutzer*innen kommunizieren:
- das Making WordPress Secure Blog auf make.wordpress.org/security (engl.)
- die WordPress News Site auf wordpress.org/news (engl.)
Das WordPress-Plugin-Team wird niemals direkt mit den Anwender*innen eines Plugins kommunizieren, kann aber Plugin-Support-Mitarbeitende, Besitzer*innen und Mitwirkende anschreiben. Diese E-Mails werden von pluginswordpress.org gesendet und wie oben angegeben signiert.