XSS: Cross-Site Scripting – ein ständiges Dauerthema in Sachen WordPress-Sicherheit. Im neuesten Update für WordPress wurde dies konsequent angegangen. Ich würde zwar niemals behaupten, dass es nun gelöst wurde. Aber man hat sich im aktuellen Update direkt damit beschäftigt. In der Version 4.7.3 wurden vier Lücken in diesem Umfeld geschlossen. Das ist doch was, oder? Deshalb muss ich mal kurz darüber reden.
In WordPress 4.7.2 wurde die REST API behandelt, die ein riesiges Sicherheitsloch mit sich herum trug. Solche Löcher gibt es ja nicht nur in WordPress, sondern in so vielen Webanwendungen und anderen Systemen. Aber gerade, weil WordPress so weit verbreitet ist, werden hier natürlich Lücken schneller bekannt. Das ist wie mit Windows. Das ist viel weiter verbreitet als zum Beispiel Linux. Und ständig werden irgendwelche Probleme bekannt. Dennoch gehe ich davon aus, dass Linux und Co. nicht unbedingt sicherer sind als Windows. Aber zurück zu WordPress. Hier gab es nach WordPress 4.7.2 noch folgende Lücken:
- Cross-Site Scripting Lücke über Metadaten von Mediendateien wie Bilder oder Videos
- Cross-Site Scripting Lücke durch Video URLs in eingebetteten Youtube-Videos
- Cross-Site Scripting Lücke via Namen von Taxonomie-Ausdrücken, also Schlagworte oder Kategorien
- Cross-Site Request Forgery in PressThis, das die Nutzung von Server-Ressourcen ausreizte
- Steuerzeichen können URL-Validierungen für Weiterleitungen aushebeln
- Löschen von ungewollten Dateien über die Löschfunktion für Plugins durch Administratoren
- 39 Bugfixes
Es handelt sich um Sicherheitsupdate, das heißt: neue Funktionen wurden nicht integriert. Aber es wurden eben jede Menge Sicherheitsmaßnahmen durchgeführt. Es ist dringend empfohlen, das Update rasch zu installieren. Das Update wurde gestern veröffentlicht und sollte unbedingt installiert werden. Beim Update auf WordPress 4.7.2 war ja schon bekannt, dass jede Menge Sicherheitsverbesserungen kommen werden.
Jetzt ist es natürlich unsinnig, wenn man davon redet, dass WordPress „gehärtet“ wurde. Es sind einfach Sicherheitsmaßnahmen, die per Update eingeführt werden. Sprechen Sie denn bei jedem Windows Update davon, dass Sie Ihren Computer härten? Aber wie dem auch sei: Wie die oben genannten XSS-Lücken hätten genutzt werden können, ist nicht ganz klar. Dem wurde aber trotzdem ein Riegel vorgeschoben. Und deshalb muss das Update – wenn nicht schon geschehen – schnellstens erfolgen.
Ich halte aber nach all den Meldungen zu Sicherheitsupdates nach wie vor WordPress für nicht unsicherer als andere Systeme. Es kommt halt immer darauf an, wie ernst es der Nutzer / Betreiber mit der Sicherheit nimmt. Aber dafür kann am Ende WordPress nichts. Die Entwickler und Supporter können nur bekannt gewordene Lücken behandeln. Die dazu gehörigen Updates muss jeder Webmaster selbst einpflegen, und die Sicherheit muss man auch selbst pflegen.