t3n News Infrastruktur

WordPress: Kritische Sicherheitslücke im Plugin „SEO by Yoast“

WordPress: Kritische Sicherheitslücke im Plugin „SEO by Yoast“

Im WordPress-Plugin „SEO by Yoast“ ist eine entdeckt worden, die Angriffe durch Blind-SQL-Injections ermöglicht. Nutzern wird dringend empfohlen, ein Update durchzuführen.

WordPress: Kritische Sicherheitslücke im Plugin „SEO by Yoast“

Kritische Sicherheitslücke in „SEO by Yoast“ (Screenshot: t3n.de)

WordPress: Kritische Sicherheitslücke im beliebten SEO-Plugin

Mit über 14 Millionen Downloads zählt „SEO by Yoast“ zu den beliebtesten WordPress-Plugins überhaupt. In der Erweiterung, die der Onpage-Optimierung von Websites dient, ist nun eine gravierende Sicherheitslücke entdeckt worden. Diese ermöglicht sogenannte Blind-SQL-Injections. Unbefugte können damit Zugang zur Datenbankschnittstelle erlangen und beliebige SQL-Abfragen einschleusen. Aufgedeckt wurde die Sicherheitslücke von Ryan Dewhurst, dem Entwickler des WordPress-Sicherheitstools „WPScan“.

Die Möglichkeiten, die sich einem Angreifer bieten, sind vielfältig. Im „besten“ Fall nutzt ein Angreifer die Lücke nur, um Daten auszuspähen – was bei sensiblen Daten natürlich ebenfalls problematisch sein kann. Im schlimmsten Fall kann sich der Angreifer Administratoren-Rechte zuweisen und damit die Kontrolle über die Web-Applikation übernehmen oder sogar die gesamte Datenbank löschen.

Update dringend empfohlen: Die Version 1.7.4 des WordPress-Plugins ist nach derzeitigem Stand nicht betroffen (Screenhsot: wordpress.org)
Update dringend empfohlen: Die Version 1.7.4 des WordPress-Plugins ist nach derzeitigem Stand nicht betroffen. (Screenhsot: wordpress.org)

Ein Update wird dringend empfohlen

Auf der Website wpvulndb.com findet ihr einen detaillierten Report zur Sicherheitslücke. Dieser empfiehlt ein umgehendes Update, um die Lücke zu schließen. Betroffen sind alle Versionen von „SEO by Yoast“, die älter sind als die Version 1.7.3.3. Die neueste Version 1.7.4 ist nach bisherigem Kenntnisstand nicht betroffen. Ihr könnt sie auf der offiziellen WordPress-Website herunterladen. Bei mehreren selbst gehosteten WordPress-Instanzen, die das Plugin „Jetpack“ verwenden, könnt ihr über diese Website ein Update für alle Seiten vom zentralen Dashboard aus durchführen.

via thehackernews.com

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
11 Antworten
  1. von Peter am 12.03.2015 (13:10 Uhr)

    Nahezu 1:1 kopierte News aus einem US-Blog. Selbst der Hinweis zu Jetpack wurde geklaut bzw. genau so übernommen.

    SCHÄÄÄÄÄÄÄÄMT EUCH!!!

    Quelle sehe ich auf Anhieb auch nicht bei euch.

    Antworten Teilen
    • von Tobi am 12.03.2015 (13:17 Uhr)

      Deine Quelle habe ich jetzt aber auch übersehen. :-P

      Antworten Teilen
    • von dazzle am 12.03.2015 (14:05 Uhr)

      dafür ist t3n ja mittlerweise bekannt

      Antworten Teilen
    • von Gerrit Kilian am 12.03.2015 (14:29 Uhr)

      Hallo Peter,

      mit dem Quellenverweis hast du Recht, der ist tatsächlich auf der Strecke geblieben. Habe ihn aber jetzt eingefügt.
      Die zugrunde liegende Quelle ist allerdings thehackernews.com und nicht irgendein US-Blog. Sollte dieser Blog die gleiche Quelle verwendet haben, wundert mich das nicht. Hackernews ist in meinen Augen eine der besten Quellen für derartige Themen.
      Mich würde interessieren, wie du eine kurze News zu diesem Thema weiter ausschmücken würdest, ohne dabei zwangsläufig die selben Informationen zu liefern, die auch andere Publikationen veröffentlichen. Bei einer solchen Nachricht geht es um das Wesentliche, damit die Nutzer entsprechend reagieren können.

      Zu Jetpack: Ja, da hast du die Quelle des Ratschlags gefunden. Nur verstehe ich nicht, warum es dich stört, zusätzliche Hinweise zu einem Problem zu bekommen. Natürlich nutzen wir verschiedene Quellen bei der Recherche und natürlich decken wir auch nicht alle Sicherheitslücken selbst auf. Wir wollen unsere Leser über eine Thema informieren und dazu möglichst passende Informationen und Hinweise liefern.

      Beste Grüße
      Gerrit Kilian

      Antworten Teilen
  2. von E. am 12.03.2015 (17:01 Uhr)

    Datet sich das SEO Plugin selbst ab? Bin mir sicher das ich die 1.7.3... drauf hatte und doch wurde 1.7.4 angezeigt. Komisch.

    Antworten Teilen
  3. von Gerrit Kilian am 13.03.2015 (08:16 Uhr)

    Moin E.,

    diese Frage haben sich schon viele gestellt. Aufgrund der Schwere der Sicherheitslücke hat WordPress tatsächlich ein "erzwungenes automatisches Update" durchgeführt. Alle Infos dazu findest du hier: https://yoast.com/wordpress-seo-security-release/

    Antworten Teilen
  4. von jan am 13.03.2015 (10:21 Uhr)

    Ah! Freitag der 13. verstehe, ... Ich bin dankbar für solche Infos, auch wenn der Inhalt von anderen Webseiten stammt. Link zur Quelle ist ja drin. Danke jedenfalls. Quelloffenes WP ist ja Freund Feind zugleich. Meine Kunden stöhnen gerade wieder: was schon wieder ein Update notwendig, wann hört das mal auf. Antwort: Nie! Da müssen alle durch!

    Antworten Teilen
  5. von Insomnia88 am 13.03.2015 (12:19 Uhr)

    Das "witzigste" an dem Bericht finde ich ja eigentlich, dass jeder, der dieses Plugin nutzt, so wie bei jedem anderen Plugin auch, im wordpress backend eine Nachricht, in Form von Text oder eines Buttons gibt, die dir sagt, dass es ein Update gibt.
    Daher habe ich also seit release des Patches von gewusst (was glaube so 2-3 Tage her is).
    Somit ist diese News also nur für Leute interessant, die nicht täglich ihre Wordpress Seite besuchen und/oder kein Plugin besitzen, welches ihnen z.B. ne mail schreibt, wenn es ein neues Plugin-Update gibt..

    Antworten Teilen
  6. von jan am 13.03.2015 (14:02 Uhr)

    Stimmt so nicht, meine Kunden melden sich nie, wenn wordpress eine Meldung anzeigt/versendet. Will jetzt auch nicht alle wordpress-Installationen auf meine E-Mail leiten. Ich bin dankbar für die Infos, denn nicht jedes Update hat mit Sicherheit zu tun.

    Antworten Teilen
    • von Insomnia88 am 13.03.2015 (23:03 Uhr)

      Oh doch, stimmt so. Wordpress prüft jedes mal auf Updates, für sich und installierten Plugins, und das schon seeeehr lange. Wenn sich deine Kunden nicht melden, dann liegt das an ihnen - man muss ja auch ned immer updaten, wenn was neues raus is ;)
      Dazu gibt es ja changelogs. Man liest, was in dem Update geändert wurde und weiß bescheid..

      Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema SEO
Sicherheitslücken in Wordpress-Plugins: Admins müssen jetzt updaten
Sicherheitslücken in Wordpress-Plugins: Admins müssen jetzt updaten

Im Rahmen eines Hacking-Events wurden erneut Sicherheitslücken in vier beliebten Wordpress-Plugins aufgedeckt. Diesmal betroffen: Ninja-Forms, Icegram, Video-Player und Paid Membership Pro. » weiterlesen

SEO-Plugins für WordPress: Die 12 besten Erweiterungen für das beliebte CMS
SEO-Plugins für WordPress: Die 12 besten Erweiterungen für das beliebte CMS

Wie lässt sich eine WordPress-Installation für Suchmaschinen optimieren? Und: Worauf gilt es dabei zu achten? Wir haben für unsere „Themenwoche Marketing“ das Netz gefilzt und die besten … » weiterlesen

Sicherheitslücke im „All-in-One-SEO-Pack“: Webmaster sollten jetzt updaten
Sicherheitslücke im „All-in-One-SEO-Pack“: Webmaster sollten jetzt updaten

Eine gefährliche Sicherheitslücke betrifft das beliebte Wordpress-Plugin „All-in-One-SEO-Pack“. Nutzer sollten unbedingt die neuste Version installieren. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?