Malware in Thesis 1.7 und 1.8b1 [Update]

Stellt euch vor, ihr habt ein sogenanntes Premium Theme für WordPress erworben und dafür dementsprechend viele Euros ausgegeben. Was erwartet ihr dafür? Neben einer qualitativen Software sicherlich auch adäquaten Support. An der Software gibt es bei Thesis sicherlich wenig zu meckern – der Support hat mich heute allerdings erstmalig enttäuscht, wenn nicht gar entsetzt.

Nutzer des Themes, die in den letzten Tagen die Version 1.7 oder die Beta der Version 1.8 geladen haben, sollten dringend überprüfen, ob sie nicht ein mit einem Trojaner infiziertes Installationspaket erwischt haben. Wie Gerd auf Thesis World berichtet, dürfte dies für alle Downloads gelten, die zwischem dem 12. Juli und heute nachmittag getätigt worden sind. Mittlerweile ist der Schadcode zwar entfernt, doch wie es zu diesem Malheur gekommen ist, was die potentiellen Gefahren für infizierte User sind – all das wird bisher totgeschwiegen, zumindest von offizieller Seite her.

Unter den Teppich kehren sollte man sowas sicher nicht, auch wenn es der Super-Gau im Marketing ist. Ich erwarte von einem Entwickler, dass er Sicherheitslücken mit dem Anwender kommuniziert und sich nicht darauf ausruht, dass dies die User in Foren und auf Twitter für ihn erledigen.

Durchaus amüsant – zumindest für diejenigen, die nicht von dem Hack betroffen sind – wird jetzt die Diskussion im Netz und auf Twitter sein, die jetzt dazu entsteht. Matt Mullenweg, bekannt als WordPress-Obermufti und Feind von Thesis (wegen GPL-Verletzung) legt schon mal vor. Der Hieb ging allerdings ein wenig daneben, schließlich hat das nichts mit dem Code von Thesis zu tun, sondern mit der mangelhaften Absicherung des Download-Servers.

[Update] Diskussion um die Einhaltung der GPL auf #thesiswp

Anscheinend hat der Hack eine ordentliche Lawine losgetreten. Der Fokus liegt jedoch keineswegs auf dem Angriff, sondern eindeutig auf der GPL-Geschichte, wie man unschwer anhand des vertonten Schlagabtausches beider Kontrahenten erkennen kann und wird gekrönt mit diesem bemerkenswerten Tweet von Matt Mullenweg:

Just to reiterate, if anyone wants to try a premium GPL #thesiswp alternative I’ll buy them a copy. http://ma.tt/contact/ Please RT

Danke, Matt. Nett gemeint, aber lass mal stecken. Mein nächstes Theme wird garantiert kein Premium-Theme mehr sein. So ein Affentheater – oder wie hier so schön betitelt, ganz einfach Futter für das Sommerloch.

[Update #2] Nachtrag

Was soll man bitte davon halten?

Unfortunately it ends with Mr Pearson basically saying “sue me.”

Bin gerade etwas angepisst, insbesondere als ich von den beiden Tweets [1,2] erfahren habe (siehe Kommentar weiter unten). Der Hack war schon am 12. Juli bekannt, behoben wurde er erst gestern.

37 Kommentare Schreibe einen Kommentar

    • Wobei ich mir da nicht so sicher wäre, ob es bei dem Video nicht vielleicht primär um die GPL-Rangelei geht. Wenn man Chris’ Focus seiner letzten Tweets betrachtet, scheint ihm das wichtiger zu sein, als die Malware Attacke. Auch sowas, was mich ankekst.

      • In dem momentan laufenden Lifestream auf mixergy geht es tatsächlich um die GPL-Rangelei. Das kekst mich genauso an wie dich. Wäre ich von dem Theme Thesis nicht genauso überzeugt wie von WordPress selbst, würde ich mein Blog jetzt schließen und mir eine andere Spielwiese suchen.

  1. Vielleicht ist es auch Chris’ Strategie: Die Disskusion um GPL auszuweiten, damit der peinliche Virus-Vorfall dezent in den Schatten marschiert.

    • Ich habe immer noch nicht kapiert, inwiefern sich Thesis und die Nicht-Wahrung der GPL mit der anderer Premium-Themes (z.B. WooThemes) unterscheidet.

      I recommend the many premium folks who don’t violate WordPress’ license: Woothemes, StudioPress, iThemes, Hybrid… not #thesiswp

      Matt Mullwenweg

      • Die von Matt Mullenweg genannten Premium-Themes halten sich an die Konditionen der GPL. Auch GPL-Software darf verkauft werden, ist von der FSF gar erwünscht.

        Der Thesis-Autor hat sich, sofern ich das jetzt mitbekommen habe aber eben indem er zwar alle Rechte der GPL für sich beansprucht aber sich anscheinend nicht um die Pflichten schert, schuldig gemacht.

        Für mich ist schwer verständlich, warum der Autor, wenn er die GPL ablehnt, GPL-Sofware nutzen will. Es gäbe genügend alternativen, von proprietären Plattformen bis zu einer Eigenentwicklung.

        Er hat die Lizenz akzeptiert, sie liegt WordPress bei. Er sollte sich an sie halten oder aufhören, finde ich.

    • Kann das funktionieren?

      Ich interessiere mich von Berufes wegen für Lizenzfragen, aber die meisten «Thesis»-Benutzer dürften sich viel eher für die Sicherheit ihrer «Thesis»-Installation interessieren – falls sie vom aktuellen Problem in dieser Hinsicht überhaupt erfahren …

  2. Pingback: Dennis Morhardt › Weblog › Sommerloch: Die alljährliche GPL-Debatte

  3. Ich habe das jetzt nur halbwegs mitbekommen von daher mal ein Danke für die kurze Zusammenfassung. An deiner Stelle würde ich den Premium Themes auch nicht den Rücken kehren, es gibt so viele gute Premium Themes von Entwickler und bei deinem Blog fällt mir auf Anhieb auch themeshift.com ein.

    Gruß,
    Andreas

    • Es ist extrem und einfach anpassbar, ohne dass man viel am Code rumfrickeln muss. Und wenn doch, dann macht man das an zwei Dateien, die man dann beim Update mitnimmt.

      • Nö, das ist kein besonders wichtiger Grund. Das könnten sie mit jedem anderen Premium Theme auch.

        • Mein Eindruck ist anders – allein die ganzen «Thesis»-Berater mit ihren spammigen Weblogs …

          Nebenbei: Wieso nennen wir das Kind nicht beim Namen, sprich «kostenpflichtig» statt «Premium»? Es gibt schliesslich auch Themes, die ich als «Premium» einschätzen würde, die kostenlos und vollständig unter GPL erhältlich sind …

          • “Es gibt schliesslich auch Themes, die ich als «Premium» einschätzen würde, die kostenlos und vollständig unter GPL erhältlich sind” Prima. Ich freue mich auf einen Beitrag von dir über diese Themes. Gerne auch als Gastbeitrag auf Thesisworld.

      • Solch ein Programm haben die Mehrzahl der Premium-Themes mit an Bord. Zumindest, die mir bisher begegnet sind.

        Edit: das war eine Zehntelsekunde nach Gerd… :D

  4. @Gerd:

    Prima. Ich freue mich auf einen Beitrag von dir über diese Themes. Gerne auch als Gastbeitrag auf Thesisworld.

    Ich habe Dich mit meinen Kommentaren schon genug unterstützt, mehr Unterstützung für Dein «Thesis»-Geschäft kannst Du nicht erwarten.

    Aber ganz kurz notiert: Es gibt viele überzeugende «Thematic»-basierte Themes, die IMHO «Premium» sind, und auch das neue WordPress-Standardlayout empfinde ich durchaus als «Premium». Mit Child Themes ist man auch im Bezug auf individuelle Anpassungen sehr flexibel.

  5. Dennis hat ja in seinem Blog den Code-Snippet gepostet. Schlimm, dass der Entwickler nicht innerhalb von 3 Tagen reagiert hat, schlimmer, dass es dazu kommen konnte.
    Aber der eingefügte Code macht nichts dramatisches. Sendet “nur” eine eMail mit dem URL zum Blog, Admin-Name, Pfad zum Blog, und Webservername and delpin55@gmail.com.

    Aber eine Hintertür hat er damit immer noch nicht….

      • Warning: require_once(/home/pearsoni/public_html/wp-content/themes/thesis_17/lib/html/frameworks.php) [function.require-once]: failed to open stream: No such file or directory in /home/pearsoni/public_html/wp-content/themes/thesis_17/functions.php on line 76

        Sieht nach einem «Thesis»-Problem aus … ;)

        • Ich denke mal eher, dass da ein böser Bube den WordPress-Code gelöscht hat und nur Thesis drauf gelassen hat. Eine Anspielung auf die GPL-Problematik.

          • Nun ja, gemäss Chris basiert WordPress auf «Thesis» und nicht umgekehrt – vielleicht wollte er das beweisen … ;)

    • Aber eine Hintertür hat er damit immer noch nicht….

      Vielleicht anderswo, wer weiss das nun schon so genau … das ist ja gerade die Problematik in solchen Fällen – es ist sehr schwierig zu beurteilen, was noch «sauber» ist und was nicht.

    • Jetzt hab ich mir das durchgelesen, obwohl es mich gar nicht betrifft. Und nun macht es mich ein wenig traurig. Bitte alle einmal das Theme wegwerfen.

      • Ich habe gerade erst zwei Blogs darauf umgestellt. Wenn es ja nur allein das Theme wäre. Da steckt ja auch im Nachhinein Arbeit drin. Außerdem gefällt es mir eigentlich sehr. Und letztendlich hat es mich auch ordentlich Geld gekostet.

        Auf längere Sicht hin werde ich mich mal an das Basis Theme machen und selber was frickeln. Gut Ding will allerdings Weile haben – vor allem, wenn es Premiere ist.

      • Dass Herr Pearson ein $%&(§ ist, darüber sind wir uns hier wohl alle einig. Deshalb aber gleich das Kind mit dem Bade auszuschütten, wie man so schön sagt, halte ich für übertrieben. Thesis ist und bleibt ein Spitzentheme. Ganz egal was man von seinem Ersteller halten mag. m2c

  6. Wenn er nur nicht so ein großkotziges §R/&//§=?)” wäre …. aber man kann es ja verstehen, denn er hat sein Haus auf WordPress Thesis gebaut: http://www.pearsonified.com/20.....modern.php

    Ich denke, die sollen das gerichtlich klären, statt sich noch ein paar Jahre? Jahrzehnte? mit Scheiße zu bewerfen.

    Für mich als Marken-Junkie ist das Thesis-Feeling erstmal weg.

  7. Alter Schwede … in diesem Podcast outet sich der Thesis Autor aber als riesen $%&(§. Wow!

    Dabei ist es so simpel. Wenn ich GPL Code verwende, dann muss ich mein Produkt auch unter GPL stellen, wenn nicht, dann nicht. Verwendet der Heini Code aus WordPress? Oder ruft er nur WordPress Funktionen auf und kann die Datenbank Inhalte lesen? Falls letzteres würde ich wirklich gerne eine Verhandlung vor Gericht sehen, die das so hinbiegt, dass es die GPL verletzten soll. Der Linuxkernel ist GPL und man kann Funktionen natürlich aufrufen ohne selbst GPL sein zu müssen …

  8. Alter Schwede … in diesem Podcast outet sich der Thesis Autor aber als riesen $%&(§. Wow!

    In Amerika zeigt man gerne, was man hat – insofern sollte man dieses Video nicht überschätzen.

    Dabei ist es so simpel. Wenn ich GPL Code verwende, dann muss ich mein Produkt auch unter GPL stellen, wenn nicht, dann nicht. Verwendet der Heini Code aus WordPress? Oder ruft er nur WordPress Funktionen auf und kann die Datenbank Inhalte lesen?

    WordPress-Entwickler Mark Jaquith erklärt unter http://markjaquith.wordpress.c.....wordpress/, wie WordPress-Themes funktionieren.

  9. Pingback: Sommerloch: Die alljährliche GPL-Debatte - dennis/so

Hinterlasse eine Antwort

Pflichtfelder sind mit * markiert.