Wordpress Performance Wordpress SEO Wordpress Security Wordpress Themes Wordpress Hosting Mein Setup Das Buch

WordPress und die schwerste Sicherheitslücke seit 5 Jahren

Wordpress: Schwerste Sicherheitslücke seit 5 Jahren

WordPress und das Sicherheitsproblem

Wer hat’s erfunden? Nein, erfunden hat er es nicht, doch gefunden und zumindest berichtet hat er darüber. Gemeint ist eine mit WordPress 4.0.1 nun endgültig geschlossene Sicherheitslücke, die alles andere als eine Kleinigkeit war, wie Jouko Pynnonen in seinem Blog berichtet. Ernst ist das Problem deshalb, weil die Lücke wohl immer noch fast 90 Prozent der WordPress-Nutzer betrifft, die nicht freiwillig updaten wollen. Dabei ist das bei der aktuellen XXS-Attacke sehr wichtig, denn Schadcode wird ganz simpel über das Kommentarfeld integriert, ausgeführt und stellt fortan eine permanente Gefahr dar. Die größte Sicherheitslücke seit 2009, wie es heißt, und der Grund warum WordPress Firewalls und WordPress Security Plugins in kürze wohl noch populärer werden als sie aktuell ohnehin schon sind.

Sicherheitslücke existiert seit 2009

Cross-Site-Scripting nennt sich das Ganze und auf diese Art konnten Hacker Javascript via Kommentare einschleusen, ohne dass der Code überhaut erkannt worden ist. Möglich war teilweise alles, vom ändern des Passworts des Admins, bis hin zum erstellen neuer Admin-Accounts. Auch konnte PHP-Code integriert werden, möglich machte es eine Variable, die das Einschleusen via Theme und Plugin Editor recht einfach gestaltete. Alles andere als witzig und einer der Gründe, warum Security Plugins für WordPress die Editoren oft vollständig sperren. Erst ab WordPress 4.0 und jetzt mit WordPress 4.0.1 sind die groben Schnitzer ausgemerzt, die seit 2009 im CMS enthalten waren und seitdem auch derartige Angriff zuließen. Ein einfaches aufrufen der Kommentarübersicht sorgte in betroffenen Fällen bereits dafür, dass der Schadcode korrekt ausgeführt werden konnte.

WordPress und die Sicherheit

So etwas zeigt mal wieder, wie anfällig WordPress mit seiner massiven Verbreitung doch ist. Das Problem dabei ist auch: Wurde erst einmal eine Lücke gefunden, kann diese meist bei allen Seiten auf Basis von WordPress ausgenutzt werden, in diesem Falle sogar auch bei einigen Plugin wie WP Statistics. Schon seit einiger Zeit schaue ich mir das Ganze nun an und auch dieser Blog hat deutlich mehr Angriffe, alleine aufgrund der Tatsache, dass hier des Öfteren mal WordPress erwähnt wird und alles in Verbindung mit WordPress inzwischen schon beinahe automatisiert attackiert wird. In kürze berichte ich über das Thema WordPress Sicherheit übrigens noch ausführlicher und stelle euch einige Security Plugins genauer vor. Schaut also die nächste Zeit des Öfteren mal vorbei, wenn euch das Thema WordPress Sicherheit-interessiert.



Wordpress Performance eBook