JETPACK teilen per EMail kann für SPAM missbraucht werden

Von | 17.Dezember. 2016

Man bemüht sich ja, wenn man einen Blog betreibt diesen möglichst sicher zu halten, spielt alle Updates ein, sichert den Zugriff über HTTPS ab usw.

JETPACK teilen per EMail kann für SPAM missbraucht werdenDieser Blog hier befindet sich sowohl bei WordPress als auch hinsichtlich der benutzten Plugins immer auf den neuesten Stand. Schon seit längeren  kann die Seite nur noch per HTTPS aufgerufen werden und natürlich benutze ich auch unterschiedliche Passwörter für den normalen Benutzer und den Admin und ein sehr streng eingestelltes Limit-Login Attempts haben bis jetzt zigtausende unberechtigte Login-Versuche erfolgreich verhindert.

Und wahrscheinlich werden eine Vielzahl der Blogger auch das JetPack Plugin benutzen, dass sehr viele Funktionen in einem Plugin anbietet. Neben den vielen Funktionen bietet JetPack die sogenannte Publicize Funktion. Mit dieser Funktion kann man einerseits seine eigenen Artikel über die sozialen Medien wie etwa Google+, FaceBook oder Twitter verteilen, sondern auch anbieten, dass Leser der Artikel dies ebenso tun können.

JETPACK teilen per EMail kann für SPAM missbraucht werden

Diese Einstellung sorgt dafür, dass Leser meine Artikel selbst auf Google+,FaceBook,Twitter und per EMail teilen können. Nun erhalte ich seit knapp 2 Tagen EMails mit dem Title „Undelivered Mail Returned to Sender„, also solche die vorgeben von mir zu stammen und nicht zugestellt werden können. Die enthalten dann auch noch einen Anhang, den ich selbstverständlich nicht geöffnet habe 😉

Durch einen Hinweis meines Providers kam ich dann dem Verursacher etwas näher:

JETPACK teilen per EMail kann für SPAM missbraucht werden

Dadurch lag nahe, dass eine Weiterempfehlungsfunktion Ursache für das Problem war. Etwas googlen brachte dann folgende Diskussion auf WordPress.org hervor, wonach dieses Problem schon seit 4 Monaten bekannt ist, aber JetPack immer noch an einer Lösung des Problems arbeitet. Dort empfiehlt man sozusagen als Zwischenlösung die Einrichtung von reCaptcha für das Teilen via EMail. Das habe natürlich sofort gemacht, um das Spammen zu beenden.

Was mich aber wirklich ärgert ist, dass bei allen Jetpack Updates zwar kleine Videos über die Neuerungen präsentiert werden, aber nicht ein einziger Warnhinweis an die Benutzer, dass gerade der EMail Button eine gewisse Gefahr birgt. Das wäre wirklich eine Maßnahme ohne viel Aufwand, aber vielleicht mit großen Nutzen gewesen.

Wie denkt ihr darüber, sollten nicht die Hersteller solcher Plugins verpflichtet sein, über evtl. Angriffsszenarien von sich aus zu informieren?

ciao tuxoche

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert