Technologie

Achtung! Wie ein WordPress-Plugin über Nacht über 60.000 Blogs zur Werbeschleuder macht

geschrieben von Tobias Gillen

Ich nutze seit Jahren bei meinen WordPress-Projekten das Plugin „Really Simple Share“, ursprünglich mal von Giuliano Polverari geschrieben. Simple Anpassungsmöglichkeiten und schnelle Integration der Sharing-Buttons in die Seite – bislang ohne Probleme. Nun aber verwandelt sich das Plugin mit einem Update über Nacht in eine fiese Werbeschleuder. // von Tobias Gillen

Auch auf BASIC thinking habe ich „Really Simple Share“ (früher mal: „Really simple Facebook Twitter share buttons“) integriert und so bislang die Teilen-Schaltflächen für Twitter, Facebook, Google+ und Flattr unter den Beiträgen eingebunden. Eigentlich war das auch kein Problem, bis ich heute Morgen die neueste Aktualisierung des Plugins installierte.

Schon etwas früher kam zum normalen, recht bescheidenen Funktionsumfang die Implementierung von ReadyGraph hinzu. ReadyGraph ist ein Dienst, um angeblich die Reichweite des Blogs zu erhöhen und zudem mit verschiedenen Tools auch besser zu monetarisieren. Blöd ist nur, wenn der Blogger diese Monetarisierung aufgezwungen bekommt.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


ReadyGraph

Infolinks: Eine dieser typischen Adware-Zecken

Nach der Aktualisierung des Plugins war die Monetarisierungs-Option von ReadyGraph nämlich voreingestellt – ohne Möglichkeit zur Deaktivierung. Das hatte zur Folge, dass etliche Keywords auf diesem Blog verlinkt wurden mit Links von Infolinks – einem Dienst, der Websites mit „smart ad units“ monetarisieren möchte. Die Links sehen etwas anders aus als normale, von uns gesetzte Links und sind doppelt unterstrichen. Fährt man mit der Maus darüber, öffnet sich ein kleines Pop-up.

Infolinks ist ein tückischer Dienst. Eine kleine Google-Recherche genügt, um rauszufinden, dass die Implementierung, einmal vorgenommen, nicht mehr so einfach rückgängig gemacht werden kann. Infolinks ist eine dieser typischen Adware-Zecken, die man nur noch mit viel Aufwand los wird – ReadyGraph zwingt sie dem Blogger auf und erpresst ihn quasi mit der Anmeldung, wo man angeblich die Monetarisierung deaktivieren kann.

Infolinks

Deaktivieren? Nichts da!

Über einen kleinen Link auf der Einstellungsseite des Plugins kann ich ReadyGraph löschen – das wiederum führt dazu, dass die Seite komplett lahmgelegt wird. Nun gut, also melde ich mich eben kurz an, um die Monetarisierungseinstellungen zu deaktivieren – dachte ich. Denn nach der Anmeldung finde ich zwar entsprechende Einstellungen und entferne den Haken bei allen drei. Beim Klick auf „Save Changes“ aber springt der Haken bei „Enable Related Tags“ wieder rein.

Nochmal zusammengefasst bedeutet das also: Nicht nur, dass das Plugin einem Blogger irgendwann diesen ReadyGraph-Dienst präsentiert. Nein, man wird quasi über Nacht mit einem Update dazu gezwungen, sich dort anzumelden in der Hoffnung, dort die Deaktivierung der aufgezwungenen Monetarisierung zu finden. Und dann kann man sie nichtmal deaktivieren. Das ist schon ein dreistes Ding.

Zumal: Wohl kaum wird ein Blogger darauf kommen, dass die Infolinks-Links, die für ihn urplötzlich auf der Seite erscheinen, von einem Plugin für Sharing-Schaltflächen kommen. Bei einer Google-Suche kommt man relativ schnell drauf, dass man irgendwo im Code nach dem Infolink-Script suchen muss – ich sage nur „Nadel im Heuhaufen“. Auch bei uns war es am Ende eine ziemlich zeitintensive Suche nach der Ursache.

Infolinks BT

Über 60.000 aktive Installationen

„Really Simple Share“ hat laut WordPress-Verzeichnis über 60.000 aktive Installationen, die allesamt mit der Aktualisierung auf Version 4.3 in die Werbefalle tappen. Hinzu kommen die etlichen anderen Plugins, die mit ReadyGraph zusammenarbeiten. Man kann also von einer enormen Reichweite dieser hinterhältigen Masche ausgehen.

Für uns bedeutet das, ganz ohne Zweifel: Plugin gelöscht und Augen auf vor ReadyGraph, Infolinks und Co. bei künftigen Plugin-Installationen. Wobei dieses Beispiel auch wunderbar zeigt, dass sich selbst ein anfangs harmloses Plugin irgendwann um 180 Grad drehen kann. Wohl dem, der die Informationen von jedem Update genau durchliest.

Update: ReadyGraph hat inzwischen auf unsere Anfrage reagiert (auch in den Kommentaren unten) und beteuert ein Versehen. Das Update hätte so angeblich nicht rausgehen sollen und man habe den Fehler nun gefixed.

Über den Autor

Tobias Gillen

Tobias Gillen ist Geschäftsführer der BASIC thinking GmbH und damit verantwortlich für BASIC thinking und BASIC thinking International. Seit 2017 leitet er zudem die Medienmarke FINANZENTDECKER.de. Erreichen kann man ihn immer per Social Media.

21 Kommentare

  • Genau aus diesem Grund hat man ja eine Testumgebung, in der man Updates (und alles andere) problemlos ausprobieren kann, bevor man sie produktiv schaltet. Oder ist das bei BT anders?

    • Ich bezweifle mal, dass jeder Blogger eine Testumgebung hat. Und selbst wenn, probiert man da gewöhnlicherweise ja nicht jedes kleine Plugin-Update aus – auch wenn das sicher sinnvoll wäre, wie obiges Beispiel zeigt.

    • Selbst wenn ich eine Testumgebung hätte würde ich nicht jedes Update erst testen! Wenn ich das wollte müsste ich ja nicht auf WordPress setzten! Gerade die Plugins mit den Updates machen es doch wertvoll!

  • Very sorry about this. This was released before it was ready and was a bug. We’ve squashed it (I’m sure you want to squash us!). The intention is for this to be an optional feature. Was not supposed to be on for everyone. Also, once added should be easy to turn off. Very sorry again!

      • Der Einbrecher hat sich halt aus Versehen in der Wohnung geirrt, als er beim Durchwühlen der Schränke erwischt wurde. Sorry, kommt nicht wieder vor, bleiben wir Freunde.

        Würde ich das Plugin verwenden, würde ich in jedem Falle eine Alternative suchen.

        Egal, was da aufgrund des berechtigten Aufschreis der geschädigten User zur Beruhigung für eine Begründung kommt. Vertrauen ist Vertrauen und das ist eben vorbei.

  • Den gleichen Scheiß mit der ReadyGraph-Implementierung gab es bei dem sehr nützlichen PlugIn ‚Subscribe2‘, welches Abonnenten bei neuen Posts per E-Mail informiert.

    Das PlugIn war solange super, bis es vom Developer an eine andere Firma verkauft wurde und die dann per Code-inject den Inhalt der Notification-Mails mit Werbeinhalten (auf die man als Sitebetreiber gar keinen Einfluss hatte) veredelt wurde. ReadyGraph spielte in dem Zusammenhang auch eine arg unrühmliche Rolle. Es wurde im Netz auch verschiedentlich von vermehrtem Spam-Aufkommen bei den Abonnenten berichtet. Nutze das PlugIn nach wie vor, allerdings in der alten Version und hoffe, dass diese mir beim nächsten WP-Update nicht um die Ohren fliegt. Habe bis dato leider noch nichts adäquates als Ersatz gefunden.

  • […] Perfide Masche: Das populäre Plugin Really Simple Share hat über 60.000 aktive Installationen – und verwandelt diese mit dem aktuellen Update auf Version 4.3 allesamt in eine Werbeschleuder. Über einen Dienstleister werden Monetarisierungsoptionen aktiviert, die nicht ausgeschaltet werden können. Die Folge sind Werbelinks auf bestimmte Keywords auf der ganzen Seite. Ich stand selbst am Donnerstag vor diesem Problem – und habe es hier dokumentiert. […]

  • Hallo Tobias, für uns war schon aus Datenschutzgründen „Shariff“ ein Muss. Wenn man sich seine CMS und deren Plugins anschaut, wird man überrascht sein, wie viel da nach Hause oder Tante Google telefoniert wird. Selbst WP oder Enfold (was ihr ja auch habt) macht in der Standartversion requests zu der google-api

    VG
    A.H.