Henning Uhle

Cross-Site-Scripting (XSS) hat scheinbar derzeit Hochkonjunktur. Heute ist wieder eine neue Lücke aufgekreuzt, und langsam ist es mal genug. Irgendwie denkt man sich allmählich, dass das doch irgendwie „Mache“ ist, also bewusst herbeigeführt wurde. Langsam sieht das Alles so aus, als ist das kein Zufall mehr. Ich kann mich täuschen, aber ich kann auch richtig liegen.

Jeder Macher einer Webseite, die auf WordPress basiert, kennt sie: Die Standard-Themes. Das diesjährige Theme heißt – wie könnte es anders sein – „Twenty-Fifteen“, also 2015. Und nun halten Sie sich fest. Genau mit dem Standard-Theme gibt es Probleme, denn dort wurde diese Lücke festgestellt. Und zwar in einer Datei, die zum Theme selbst gehört, nämlich die example.html. Und nun? Wird die Welt nun deshalb untergehen? Oder dreht sie sich auch morgen noch weiter?

Also für mich dreht sie sich in jedem Fall weiter. Denn ich nutze kein Standard-Theme. Und ich habe gleich mal eins gemacht: Da ich das Theme nicht nutze, kann ich es ja auch deinstallieren. Und das habe ich gemacht. Angeblich wird diese Lücke ausgenutzt, und es könnten jede Menge Seiten, die auf WordPress basieren, betroffen sein.

Ich gehe voll und ganz mit dem mit, was die fündigen Leute da als Erklärung abgegeben haben. Es ist grundsätzlich bedenklich, dass eine Testdatei im Live-System – also der Webseite, die Sie als Leser sehen – installiert wird. Man könnte da den Entwicklern von Automattic und WordPress eine gewisse Unachtsamkeit unterstellen, wenn man denn wollen würde.

Jetzt nehmen wir einmal an, man hat vor den Warnungen ein ungepatchtes JetPack und ein ungepatchtes Twenty-Fifteen im Einsatz gehabt. Es wäre sehr gut möglich, dass es zu verheerenden Auswirkungen gekommen ist. Und das ist fahrlässig. Man kann zwar sehr dankbar sein, dass eine Software wie WordPress kostenfrei angeboten wird. Aber trotzdem verlässt man sich als Nutzer darauf. Und da sollten solche Schnitzer nicht passieren. Oder was meinen Sie?