Wordpress Performance Wordpress SEO Wordpress Security Wordpress Themes Wordpress Hosting Mein Setup Das Buch

Sicherheitslücke in den WordPress Login-Cookies

Sicherheitslücke in den WordPress Login-Cookies

Schlechte Nachrichten für alle die zwischendurch mal unterwegs sind, denn WordPress-Accounts können wohl ganz einfach dem Hijacking zum Opfer fallen. So werden ganze Konten übernommen, zumindest wenn ihr euch öffentlich in euren Account eingeloggt und dementsprechend auch einen Cookie hinterlegt habt.

Das Problem dabei ist ganz einfach, dass Wordpress wohl einen unverschlüsselten Cookie an den Browser des Nutzers sendet. Der nennt sich “wordpress_logged_in” und sorgt dafür, dass ihr nicht jedes mal erneut Name und Passwort eingeben müsst. Diese Art von Service nutzten die meisten Websites, doch Wordpress sendet die dort enthaltenen Informationen als Plain Text. Das wiederum macht es einem Hacker innerhalb eines WiFi-Netzwerks, zum Beispiel dem WLAN im Cafe an der Ecke, extrem leicht die Daten auszulesen.

Herausgefunden hat dasn Yan Zhu, Staff Technologist der Electronic Frontier Foundation, der gleich noch weitere Überraschungen parat hat. So sendet der Cookie seine Daten nicht nur als Plain Text, sondern ist auch für drei Jahre gültig, kann also immer wieder verwendet werden. Normalerweise laufen derartige Cookie schnell ab, im Falle von WordPress.com aber eben nicht. Bei den selbstgehosteten Blogs sind es aber auch immerhin noch zwei Wochen.

Alles in allem heißt das nur, dass ihr vorsichtig sein solltet. WordPress-Accounts dienen auch zum kommentieren etc. doch genau so etwas solltet ihr in öffentlichem WLAN unter Umständen lieber lassen. Wie groß die Chance ist, dass ein Hacker sein Glück versucht, weiß man letztendlich schließlich nie.

Mit den Informationen zum Account können Hacker am Ende zwar nicht das Passwort ändern, allerdings durchaus kommentieren, Artikel schreiben, kopieren, löschen, sowie vieles mehr. Außerdem könnte ein Angreifer die Zwei-Faktor-Authentifizierung einschalten, deren Codes dann nur er besitzt.

Mit dem nächsten Update für WordPress soll das Problem übrigens behoben werden, zumindest auf selbstgehosteten Blogs. Wann es bei WordPress.com soweit ist, steht noch in den Sternen. Es wird laut Automattic aber fieberhaft an einer Lösung gearbeitet.



Wordpress Performance eBook