WordPress als quelloffenes Content Management System ist aufgrund seiner hohen Verbreitung immer wieder Ziel von schlimmen Fingern. Das System an sich ist dabei weitestgehend frei von Problemen. Schlimmer ist es mit den Erweiterungen, den Plugins. Unsauber erstellte Plugins können durchaus Sicherheitsprobleme hervorrufen. Und das ist nicht ohne.
Derzeit ist das Kontaktformular-Plugin namens „Custom Contacts Form“ zentral im Fokus. Offenbar hat sich hier eine Lücke eingeschlichen. Über diese Lücke kann es Angreifern möglich werden, administrativen Zugriff über eine Webseite zu bekommen. So weit, so fatal. Aber die gute Nachricht ist: Es gibt bereits einen Patch.
Das Plugin hat wohl einen Fehler, mit dem Angreifer die WordPress-Datenbank herunterladen können. Sie kann dann auch wieder hochgeladen werden. Das Problem: In der Datenbank ist auch die Benutzerverwaltung der WordPress-Installation gespeichert. Ist die Datenbank greifbar, können die Rechte „angepasst“ werden und die manipulierte Datenbank wieder an Ort und Stelle hochgeladen werden. Damit können Angreifer dann Vollzugriff auf die Installation erlangen.
Wie das Magazin Golem berichtet, hatte wohl das Sicherheitsteam von Sucuri den Fehler, die Lücke entdeckt. Sie haben darüber den Entwickler des Plugins informiert. Von dieser Seite erhielten sie wochenlang keinerlei Reaktion. Erst nachdem Kontakt zu WordPress selbst aufgenommen wurde, konnte von der Seite der System-Entwickler der Kontakt zum Plugin-Entwickler hergestellt werden.
Offenbar ist „Custom Contacts Form“ weit verbreitet. Und dieses Plugin wies eine ebenso schlimme Lücke auf wie vor noch nicht allzu langer Zeit der Mailpoet. Aber soll man denn nun auf ein Kontaktformular verzichten? Soll ich denn auf meine Webseite einen Email-Link schmieren, wie es vor 10 Jahren vielleicht noch üblich war? Nein, das muss doch sicherer gehen. Natürlich gibt es keine endgültige Sicherheit. Aber solche gravierenden Lücken sind schon wild. Da malt man sich aus, was da alles passieren kann.
Jedenfalls zeigt dieses Beispiel wieder einmal, dass man nicht jedes Plugin in seinem Blog installieren muss. Ich habe da in den reichlich 5 Jahren auch gelernt. Und wer weiß, vielleicht bauen ja Plugin-Entwickler irgendwelche Hintertürchen ein? Man will ihnen nichts unterstellen. Aber wenn solche Dinge bekannt werden, sind es meistens die Plugins. Und da hilft es dann schon, sich seine Plugin-Sammlung näher anzuschauen.
Jedenfalls soll die Lücke in „Custom Contacts Form“ ausgeräumt sein. Es soll einen Patch dafür geben. Aber natürlich verliert das Plugin gewaltig an Ansehen. Gewollt oder ungewollt, es war verantwortlich für eine signifikante Sicherheitslücke. Und das nehmen die WordPress-Nutzer im Allgemeinen sehr übel.
Danke für den Hinweis! Es gibt kein System das 100%ig sicher ist, auch nicht der WordPress Core. Open-Source Anwendungen haben nur den Vorteil, das sich jeder den Quellcode anschauen kann und mehr Leute die Fehler entdecken.
Die größten Fehler in WordPress sind neben unsicheren Plugins die User selbst. Unsichere Passwörter, Name noch auf „admin“.. Dann kann man daheim auch gleich den Tresor mit den Millionen offen lassen, anstatt die PIN 1111 zu nehmen.
Grüße