Nein, das ist keine Übung. Eine Vielzahl von WordPress-Plugins weisen eine schlimme Sicherheitslücke auf, die unbedingt gestopft werden muss. Betroffen sind prominente Plugins, und aufgefallen ist das Problem eher zufällig. Aber es sollte jeder Betreiber eines Blogs basierend auf WordPress angebotene Aktualisierungen so schnell wie möglich durchführen.
Die Lücke betrifft das Cross-Site-Scripting (XSS). Informationen werden aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen Kontext eingefügt, in dem sie als vertrauenswürdig gelten. Und daraus können dann Angriffe gestartet werden. Damit wird dann meistens das Ziel verfolgt, an sensible Benutzerdaten zu gelangen. Zum Beispiel kann es sich dabei um Identitätsdiebstahl handeln. Wie der Namen schon sagt, werden dabei webseitenübergreifend Scripte eingesetzt, um dieses Ziel zu verfolgen.
Im „All in One SEO“ von YOAST wurde vor einer Weile eine entsprechende Sicherheitslücke entdeckt. Natürlich wurde sie recht schnell geschlossen. Aber danach haben andere Entwickler ihre Plugins überprüft und die gleiche Lücke entdeckt. So betrifft der Umstand wohl auch Jetpack, WP-Ecommerce, WP Touch und Gravity Forms, wie ZDNet berichtet.
Es handelt sich um den Einsatz von Funktionen add_query_arg() and remove_query_arg(). Mit dafür verantwortlich, dass die Funktionen falsch eingesetzt wurden, war eine unklare Dokumentation von WordPress selbst. In jedem Fall ist das Cross-Site-Scripting sehr anfällig dafür, dass Angriffe auf MySQL / SQL möglich sind.
In einer konzertierten Aktion nach entsprechenden Warnungen vom Sicherheitsdienstleister Sucuri wurden für den vergangenen Montag gleichzeitig veröffentlichte Updates der betroffenen Updates vorbereitet. Es kann aber trotzdem nicht ausgeschlossen werden, dass noch weitere Plugins von dem Problem betroffen sind. Sucuri wird weitere Recherchen durchführen, um weitere Schwachstellen bezüglich XSS feststellen zu können und weitere Warnungen aussprechen.
Für Betreiber von Blogs und Webseiten auf Basis von WordPress bleibt die Erkenntnis, dass das System WordPress an sich sowie Themes und Plugins stets aktuell gehalten werden sollen. Je weniger veraltete Software im Einsatz ist, desto weniger Angriffe sind möglich. Ich meine, mit solchen Lücken sind auch kriminelle Handlungen möglich, wie das Spiegeln von ganzen Webseiten für die unterschiedlichsten Zwecke. Also tun Sie sich einen Gefallen und vermeiden veraltete Bestandteile von WordPress.
Hallo Henning,
vielen Dank für diese wertvollen Informationen. Jedes Mal, wenn ich mich im Backend meiner WordPress-Blogs befinde, date ich die Themes und Plugins erneut up und ich kann auch nicht ausstehen, wenn da eine Aktualisierung vorhanden ist. Sie muss dann gleich vollzogen werden.
So hat unser liebstes WordPress doch hier und da diese immer wieder kommenden Sicherheitsproblemchen. Aber was solls, ein Grund, auf diese Software zu verzichten, ist es für mich nicht und ich kann als Blogadmin nur eines tun, nämlich immer updaten und meine Blogs auf dem neuesten Stand der Technik halten, zumindest bei WordPress-Blogs.