Sicherheitslücke: Aktualisieren Sie Ihre WordPress-Plugins

Nein, das ist keine Übung. Eine Vielzahl von WordPress-Plugins weisen eine schlimme Sicherheitslücke auf, die unbedingt gestopft werden muss. Betroffen sind prominente Plugins, und aufgefallen ist das Problem eher zufällig. Aber es sollte jeder Betreiber eines Blogs basierend auf WordPress angebotene Aktualisierungen so schnell wie möglich durchführen.

Die Lücke betrifft das Cross-Site-Scripting (XSS). Informationen werden aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen Kontext eingefügt, in dem sie als vertrauenswürdig gelten. Und daraus können dann Angriffe gestartet werden. Damit wird dann meistens das Ziel verfolgt, an sensible Benutzerdaten zu gelangen. Zum Beispiel kann es sich dabei um Identitätsdiebstahl handeln. Wie der Namen schon sagt, werden dabei webseitenübergreifend Scripte eingesetzt, um dieses Ziel zu verfolgen.

Im „All in One SEO“ von YOAST wurde vor einer Weile eine entsprechende Sicherheitslücke entdeckt. Natürlich wurde sie recht schnell geschlossen. Aber danach haben andere Entwickler ihre Plugins überprüft und die gleiche Lücke entdeckt. So betrifft der Umstand wohl auch Jetpack, WP-Ecommerce, WP Touch und Gravity Forms, wie ZDNet berichtet.

Es handelt sich um den Einsatz von Funktionen add_query_arg() and remove_query_arg(). Mit dafür verantwortlich, dass die Funktionen falsch eingesetzt wurden, war eine unklare Dokumentation von WordPress selbst. In jedem Fall ist das Cross-Site-Scripting sehr anfällig dafür, dass Angriffe auf MySQL / SQL möglich sind.

In einer konzertierten Aktion nach entsprechenden Warnungen vom Sicherheitsdienstleister Sucuri wurden für den vergangenen Montag gleichzeitig veröffentlichte Updates der betroffenen Updates vorbereitet. Es kann aber trotzdem nicht ausgeschlossen werden, dass noch weitere Plugins von dem Problem betroffen sind. Sucuri wird weitere Recherchen durchführen, um weitere Schwachstellen bezüglich XSS feststellen zu können und weitere Warnungen aussprechen.

Für Betreiber von Blogs und Webseiten auf Basis von WordPress bleibt die Erkenntnis, dass das System WordPress an sich sowie Themes und Plugins stets aktuell gehalten werden sollen. Je weniger veraltete Software im Einsatz ist, desto weniger Angriffe sind möglich. Ich meine, mit solchen Lücken sind auch kriminelle Handlungen möglich, wie das Spiegeln von ganzen Webseiten für die unterschiedlichsten Zwecke. Also tun Sie sich einen Gefallen und vermeiden veraltete Bestandteile von WordPress.

Das könnte Sie auch interessieren:

2 Kommentare

  1. Hallo Henning,
    vielen Dank für diese wertvollen Informationen. Jedes Mal, wenn ich mich im Backend meiner WordPress-Blogs befinde, date ich die Themes und Plugins erneut up und ich kann auch nicht ausstehen, wenn da eine Aktualisierung vorhanden ist. Sie muss dann gleich vollzogen werden.

    So hat unser liebstes WordPress doch hier und da diese immer wieder kommenden Sicherheitsproblemchen. Aber was solls, ein Grund, auf diese Software zu verzichten, ist es für mich nicht und ich kann als Blogadmin nur eines tun, nämlich immer updaten und meine Blogs auf dem neuesten Stand der Technik halten, zumindest bei WordPress-Blogs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

×SaveYourInternet

Liebe Besucherin, lieber Besucher,

vielen Dank für Ihr Interesse. Leider steht unser Service heute nicht zur Verfügung. Wir protestieren gemeinsam mit der Autorenschaft der Wikipedia gegen Teile der geplanten EU-Urheberrechtsreform, die im Parlament der Europäischen Union Ende März verabschiedet werden soll, und schalten unsere Seite für 24 Stunden ab.

Monatelang haben EU-Kommission, EU-Parlament und der EU-Rat im sogenannten Trilog hinter verschlossenen Türen an einem neuen EU-Urheberrecht gearbeitet. Im Kern geht es darum, die finanziellen Interessen der großen Medienkonzerne gegenüber Betreibern von Internetplattformen durchzusetzen.

Ausgetragen wird dieser Konflikt auf den Rücken der Internetnutzer und Kreativen. Diese müssen nach dem aktuellen Entwurf mit erheblichen Einschränkungen rechnen. Das freie Internet, wie wir es kennen, könnte zu einem „Filternet“ verkommen, in dem Plattformbetreiber darüber entscheiden müssen, was wir schreiben, hochladen und sehen dürfen. Denn das geplante Gesetz schreibt Internetseiten und Apps vor, dass sie hochgeladene Inhalte präventiv auf Urheberrechtsverletzungen prüfen müssen. Selbst kleinere Unternehmen müssten demnach fehleranfällige, teure und technisch unausgereifte Uploadfilter einsetzen (Artikel 13) und für minimale Textausschnitte aus Presseerzeugnissen Lizenzen erwerben, um das sogenannte Leistungsschutzrecht einzuhalten (Artikel 11).

Wenn Sie unsere Kritik an der geplanten Urheberrechtsreform teilen, werden Sie aktiv: