Skip to main content
WordPress Sicherheit - (C) PixelCreatures CC0 via Pixabay.de WordPress Sicherheit - (C) PixelCreatures CC0 via Pixabay.de

Neue Cross-Site-Scripting-Lücke in WordPress

Cross-Site-Scripting (XSS) hat scheinbar derzeit Hochkonjunktur. Heute ist wieder eine neue Lücke aufgekreuzt, und langsam ist es mal genug. Irgendwie denkt man sich allmählich, dass das doch irgendwie „Mache“ ist, also bewusst herbeigeführt wurde. Langsam sieht das Alles so aus, als ist das kein Zufall mehr. Ich kann mich täuschen, aber ich kann auch richtig liegen.

Jeder Macher einer Webseite, die auf WordPress basiert, kennt sie: Die Standard-Themes. Das diesjährige Theme heißt – wie könnte es anders sein – „Twenty-Fifteen“, also 2015. Und nun halten Sie sich fest. Genau mit dem Standard-Theme gibt es Probleme, denn dort wurde diese Lücke festgestellt. Und zwar in einer Datei, die zum Theme selbst gehört, nämlich die example.html. Und nun? Wird die Welt nun deshalb untergehen? Oder dreht sie sich auch morgen noch weiter?

Also für mich dreht sie sich in jedem Fall weiter. Denn ich nutze kein Standard-Theme. Und ich habe gleich mal eins gemacht: Da ich das Theme nicht nutze, kann ich es ja auch deinstallieren. Und das habe ich gemacht. Angeblich wird diese Lücke ausgenutzt, und es könnten jede Menge Seiten, die auf WordPress basieren, betroffen sein.

Ich gehe voll und ganz mit dem mit, was die fündigen Leute da als Erklärung abgegeben haben. Es ist grundsätzlich bedenklich, dass eine Testdatei im Live-System – also der Webseite, die Sie als Leser sehen – installiert wird. Man könnte da den Entwicklern von Automattic und WordPress eine gewisse Unachtsamkeit unterstellen, wenn man denn wollen würde.

Jetzt nehmen wir einmal an, man hat vor den Warnungen ein ungepatchtes JetPack und ein ungepatchtes Twenty-Fifteen im Einsatz gehabt. Es wäre sehr gut möglich, dass es zu verheerenden Auswirkungen gekommen ist. Und das ist fahrlässig. Man kann zwar sehr dankbar sein, dass eine Software wie WordPress kostenfrei angeboten wird. Aber trotzdem verlässt man sich als Nutzer darauf. Und da sollten solche Schnitzer nicht passieren. Oder was meinen Sie?

Verteilen Sie diese Erkenntnis doch einfach wie 0 andere auch

Henning Uhle

Henning Uhle ist gelernter Fachinformatiker für System Integration und zertifizierter System Engineer. Meine Sachgebiete sind Messaging & Collaboration sowie High Availability und Domain-Verwaltung. Ich schreibe über verschiedenste Dinge, die mich bewegen. Und es handelt sich immer um meine Sicht.

3 Gedanken zu „Neue Cross-Site-Scripting-Lücke in WordPress

  1. Es ist sowas von mühsam. Ich betreibe über 70 Webseiten auf WordPress Basis. Habe zwar Auto -Update aktiviert, jedoch muss ich trotzdem nach einem Update kurz schauen, ob alles noch funktioniert. Des weiteren bekomme ich bei jedem Update ein E-Mail zugeschickt. Jetzt gerade zwei Updates direkt hintereinander.. ARRGGH!! Stümperhafte Arbeit, ich würde denen mal gerne meine Meinung sagen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.