WordPress: Sicherheitslücken in W3 Total Cache und WP Super Cache

Es ist mal wieder an der Zeit, vor Sicherheitslücken bei WordPress zu warnen. Es kann sein, dass das mit der sowieso schwelenden Problematik der Hackerangriffe auf WordPress-Plattformen im Zusammenhang steht, es ist allerdings auch möglich, dass die jetzige Problematik gesondert betrachtet werden muss.

Um einen Blog schnell zu halten, empfiehlt es sich schlichtweg, so genannte Caching Plugins zu verwenden. Von diesen sind einige im Umlauf, aber diese sind die, die am meisten im Einsatz sind:

  • Cachify
  • WP Super Cache
  • W3 Total Cache

Die beiden letzten weisen derzeit eine gewaltige Lücke auf. So ist es für einen Angreifer wohl möglich, über diese Sicherheitslücke eine Remote Code Execution durchzuführen. Es soll unter anderem möglich sein, Code-Schnipsel in Kommentare einzufügen, auf die dann ein Server reagiert.

Nach dem, was ich bis jetzt weiß, ist wohl hauptsächlich das integrierte Kommentarsystem von WordPress betroffen. Disqus und andere externe Systeme sollen nicht davon tangiert werden. Also kann man unterm Strich von einer Sicherheitslücke sprechen, die AUCH WordPress an sich betrifft.

Die Entwickler von WP Super Cache und W3 Total Cache haben wohl von der aufgetretenen Lücke erfahren. Updates für beide Plugins sollten zur Verfügung stehen. Und die sollten Sie unbedingt installieren.

Mir ist klar, manchmal nervt es, wenn alle Nase lang irgendwelche Update-Meldungen in der Admin-Leiste von WordPress auftauchen. Manchmal ignoriert man die. Aber eben manchmal nicht. Wer also eins der beiden genannten Caching-Plugins im Einsatz hat, der sollte die Update-Meldungen in der Leiste unbedingt beobachten und bei Verfügbarkeit unbedingt seine Plugins aktualisieren.

Es kann doch eigentlich auch nicht so schwer sein, seinen Blog auf dem aktuellen Stand zu halten, oder? Bei Ihrem Betriebssystem auf dem PC sehen Sie doch auch zu, dass Sie die Updates zeitnah installieren. Beim Blog ist das doch nicht anders. Also werfen Sie einfach die Update-Maschine an, damit Sie wieder sicherer unterwegs sind. Das meint übrigens auch der Caschy. Und er bezieht sich auf einen Blogartikel von Sucuri.

Was Sie auch interessieren könnte:

Ein Kommentar

  1. Hi Henning,
    ich bin auch der Fan dieser beiden Plugins und habe sie beide auf dem Blog im Einsatz. Momentan sehe ich aber keine Update-Meldungen im WP-Dashboard, also habe ich die beiden Plugins wahrscheinlich schon geupdatet, ohne von den Sicherheitslücken Bescheid zu wissen. Dann bin ich ja beruhigt :-). Ein toller Artikel übrigens!!

Schreibe einen Kommentar

Mit dem Nutzen des Kommentarbereiches erklären Sie sich mit der Datenschutzerklärung einverstanden.