Der 31. Oktober ist nicht nur Reformationstag oder Halloween. An diesem Tag wurde auch ein Sicherheitsupdate für das beliebte CMS WordPress veröffentlicht. Wie immer gilt, dass es nichts schaden kann, dieses Update zu installieren. Es handelt sich um ein Update, das für die Vorgänger-Versionen von WordPress bis zur Version 4.8.2 geeignet ist. Und ich schreibe mal kurz auf, was von dem Update zu erwarten ist.
Harden your WordPress
Das Content Management System WordPress ist eigentlich eine Art Flickenteppich. Die Entwickler leisten immer viel Arbeit, um die Lücke möglichst gering zu halten. Aber es gibt immer wieder kleine Schlupflöcher. Und so hat man sich bei den Entwicklern vorgenommen, WordPress zu härten. In der Informatik spricht man vom Härten, wenn man ein System auf Funktionen beschränkt, die man unbedingt benötigt. Alle anderen sollte man entfernen oder eben deaktivieren. Und so ist das auch bei WordPress.
Es gibt die Funktion $wpdb->prepare(). Wenn jemand nach dieser sucht, stößt man unweigerlich auf große Probleme, dass ein Argument fehlt und so. Hier ist es möglich, unerwartete und unsichere Abfragen in Richtung Datenbank zu erstellen. Und diese können dann zu SQL Injections missbraucht werden. Dabei schleusen Angreifer schädlichen Code in die Datenbank ein, um die Daten auszuspähen oder zu verändern. WordPress wurde dahingehend gehärtet, dass Plugins und Themes eben nicht mehr solche Sicherheitslücken produzieren können.
Und sonst so?
Die Macher haben noch das Verhalten einer Funktion verändert. Und im Prinzip ist das Alles eine Vorbereitung auf die bevorstehende Version 4.9. Die Tests sind mittlerweile bei der Beta-Version 4 angekommen. In rund zwei Wochen soll die finale Version dann kommen. Davor kommt am 06. November noch einmal ein Release Candidate, der dann auch noch vorab getestet werden kann. Dies kann man sich alles hier durchlesen.
Dennoch wird auch dann WordPress ein Flickenteppich bleiben. Das ist aber auch völlig normal so. Am Ende muss man sich immer wieder sagen, dass es eine absolute Sicherheit nicht gibt. Das betone ich nun auch schon seit längerem. Man kann aber mithelfen, dass die Löcher nicht noch größer werden. Wichtig ist auf jeden Fall, bei WordPress automatische Updates aktiv zu haben. Und außerdem ist es wichtig, sich mit dem Grundsatz auseinander zu setzen: So wenige Plugins wie möglich, aber so viele wie nötig.