Anpassungen des Blogs zur Freude der Suchmaschinen – spannende Sache. Dumm nur, wenn da eine Sicherheitslücke vorliegt. So wie derzeit. Eins der bekanntesten so genannten SEO-Plugins für WordPress ist WordPress SEO von YOAST. Es ist sehr weit verbreitet, und so können unzählige Blogs kompromittiert werden. Aber gibt es denn Abhilfe außer den Austausch des Plugins?
Das Plugin von YOAST wurde um die 14 Millionen mal heruntergeladen. Auch ich hatte es vor einer ganzen Weile im Einsatz, bis ich es durch ein Plugin von Sergej Müller ersetzt hatte. Tja, und mit dem Plugin „Plugin Vulnerabilities“ wurde nun festgestellt, dass Angreifer über eine verdeckte SQL Injection Gefahr für den Blog ausüben können. Das betrifft alle YOAST-Versionen vor 1.7.3.3. Und da gerade bei professionellen Blogs nicht sofort aktualisiert werden kann, ist die Chance recht hoch, dass es Blogs gibt, die keine aktuelle Version des Plugins haben.
Mit einer SQL Injection können Angreifer Zugriff auf sensible Daten in der Datenbank erlangen. Ich stelle mir da gerade vor, dass ein Angreifer Zugriff auf die Login-Daten bekommen kann. Und dann – angemeldet im Blog – könnte der Angreifer Schadcode verteilen. Oder der Angreifer könnte sonstwas mit dem Blog veranstalten. In jedem Fall bringt es nur Nachteile für den Blog-Inhaber.
Jedenfalls sollte man in meinen Augen keine Sekunde zögern und so schnell wie möglich das Plugin aktualisieren. Soweit ich weiß, wurde die Sicherheitslücke in der aktuellen Version von WordPress SEO geschlossen. Und deshalb muss man ja reagieren. Ich meine, ich kann es ja verstehen, dass man auf dieses Plugin setzt. Ich habe ja auch meine SEO-Vorkehrungen. Aber das muss man alles schon aktuell halten. Eine andere Möglichkeit gibt es nicht, will man dieses Plugin weiter nutzen.
Generell kann man sagen, dass Aktualisierungen nie falsch sein können. Sowohl für WordPress, als auch für die eingesetzten Plugins kann man dies so ausdrücken. Zudem ist es nicht falsch, das oben genannte „Plugin Vulnerabilities“ zu testen. Des Weiteren sollte man auch über weitere Schutzmaßnahmen nachdenken. WordPress ist nur so sicher, wie es der Blog-Inhaber so einstellt, oder?
Hallo,
hatte das gestern direkt gefahren, das Update. Selbst „berühmte“ Plugins kann es mal treffen.
Vulnerabilities werde ich mir aus Interesse auf jeden Fall mal anschauen. Danke
LG Hans
Hallo Henning,
ich habe auch erst durch den Hans in meinem Blogger-Forum von der Sicherheitslücke erfahren und habe das Plugin auf Internetblogger.de gleich upgedatet. Alle anderen WordPress-Blogs von mir müssen noch aktualisiert werden, was ich hiernach machen werde.
Ja, es ist schon so, dass auch solche mächtigen und bekannten Plugins davon betroffen sein könnten und dabei kann man nur reagieren und alles updaten. Danke für diese Nachricht, welche mich dazu inspiriert, auch auf meinem Hauptblog die Leser darüber in Kenntnis zu setzen :). Deinen Beitrag werde ich dann verlinken.
Hallo Alex,
freut mich, dass ich dir weiterhelfen konnte. Und schön, dass du mich als Quelle hernehmen willst.