Sicherheitslücke in WP Super Cache
Aktuell hagelt es regelrecht Sicherheitslücken für bekannte Wordpress Plugins. Jetzt hat es das nächste große Plugin erwischt, nachdem kürzlich bereits eine heftige Sicherheitslücke in Wordpress SEO by Yoast entdeckt wurde. Derzeit trifft es das populäre Caching Plugin WP Super Cache, welches auf mehr als einer Millionen Websites aktiviert ist. Mit Version 1.4.4 ist die Sicherheitslücke inzwischen bereits geschlossen worden.
DREAD Score beträgt 8 von 10 Punkten
Laut Sucuri handelte sich um eine massive Lücke, die es Angreifern auf einfachste weise ermöglichte, eine Backdoor in Wordpress zu integrieren oder Admin Accounts anzulegen, mit denen dann wiederum so ziemlich alles möglich war. Sucuri stufte die Sicherheitslücke mit einem DREAD Score 8 von 10 Punkten ein, also recht kritisch und massiv. Der DREAD Score ist dabei ein Leitfaden zur Risikobewertung von Sicherheitslücken. Er ruft Fragen zur Bewertung hinzu, etwa: Wie hoch wäre der Schaden, wie einfach ist ein Angriff zu starten und viele mehr. 8 von 10 Punkten sind da schon recht hoch.
Automatische Updates als Pflicht
All die Sicherheitslücken in letzter Zeit heizen auch nochmals die Diskussion nach automatischen Updates an. Sollten Nutzer heutzutage wirklich auf aktuelle Updates verzichten dürfen? Gerade in Fällen wie bei WP Super Cache oder Wordpress SEO by Yoast, wurden die Sicherheitslücken zwar schnell geschlossen, doch sobald diese bekannt sind, werden sie auch meist noch aktiv für einige Tage, wenn nicht sogar Wochen ausgenutzt, um all die Nachzügler zu erwischen, die das Update noch nicht installiert haben. Sollten automatische Updates also nicht langsam aber sicher zum Standard werden? Sicherheitsupdate, die keine grundlegende Funktionen ändern oder beeinträchtigen, wahrscheinlich schon.
So wenige Plugins wie möglich
Auch ist es mal wieder ein Beweis dafür, dass Plugins grundsätzlich und durch die Bank (ganz egal wie groß sie auch sind und wie viel Werbung sie machen) ein Sicherheitsrisiko darstellen. Ich sage das immer wieder und werde auch jetzt wieder sprechen: Installiert nur die Wordpress Plugins, die ihr wirklich braucht und selektiert dann aus mehreren Plugins das sauberste und performanteste, nicht das mit dem tollsten Menü oder den meisten Funktionen. Genau so etwas führt dann nämlich dazu, dass ihr oberflächliche Plugins installiert, die unter der Haube längst verrostet sind. Ansonsten bleibt die Regel: So wenige Plugins wie nur irgendwie möglich.
Vorsorge ist besser als Nachsorge
Wer sich allgemein etwas schützen will, der kann sich mal meine Reihe zu den Wordpress Security Plugins durchlesen. Ich persönlich kann die NinjaFirewall empfehlen, die wohl einzig echte Firewall ohne monatliche Abogebühren. Auch die Standards beim Thema Sicherheit sollten eingehalten werden, diese könnt ihr zum Beispiel mit dem Wordpress Security Test überprüfen. Persönlich nutze ich übrigens Cachify mit APC und verschiedenen Tweaks, empfehle den Leuten aber grundsätzlich WP Rocket, welches für mich das alltagstauglichste Wordpress Caching Plugin überhaupt ist und dessen Team freundlichen und kompetenten Support leistet, sowie beständige Updates liefert. Es muss nicht immer kostenlos sein, gerade bei einer dauerhaften Angelegenheit wie dem Caching.
