Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

WordPress: Kritische Sicherheitslücke im Plugin „SEO by Yoast“

    WordPress: Kritische Sicherheitslücke im Plugin „SEO by Yoast“

Kritische Sicherheitslücke in „SEO by Yoast“ (Screenshot: t3n.de)

Im WordPress-Plugin „SEO by Yoast“ ist eine Sicherheitslücke entdeckt worden, die Angriffe durch Blind-SQL-Injections ermöglicht. Nutzern wird dringend empfohlen, ein Update durchzuführen.

WordPress: Kritische Sicherheitslücke im beliebten SEO-Plugin

Mit über 14 Millionen Downloads zählt „SEO by Yoast“ zu den beliebtesten WordPress-Plugins überhaupt. In der Erweiterung, die der Onpage-Optimierung von Websites dient, ist nun eine gravierende Sicherheitslücke entdeckt worden. Diese ermöglicht sogenannte Blind-SQL-Injections. Unbefugte können damit Zugang zur Datenbankschnittstelle erlangen und beliebige SQL-Abfragen einschleusen. Aufgedeckt wurde die Sicherheitslücke von Ryan Dewhurst, dem Entwickler des WordPress-Sicherheitstools „WPScan“.

Die Möglichkeiten, die sich einem Angreifer bieten, sind vielfältig. Im „besten“ Fall nutzt ein Angreifer die Lücke nur, um Daten auszuspähen – was bei sensiblen Daten natürlich ebenfalls problematisch sein kann. Im schlimmsten Fall kann sich der Angreifer Administratoren-Rechte zuweisen und damit die Kontrolle über die Web-Applikation übernehmen oder sogar die gesamte Datenbank löschen.

Update dringend empfohlen: Die Version 1.7.4 des WordPress-Plugins ist nach derzeitigem Stand nicht betroffen (Screenhsot: wordpress.org)
Update dringend empfohlen: Die Version 1.7.4 des WordPress-Plugins ist nach derzeitigem Stand nicht betroffen. (Screenhsot: wordpress.org)

Ein Update wird dringend empfohlen

Auf der Website wpvulndb.com findet ihr einen detaillierten Report zur Sicherheitslücke. Dieser empfiehlt ein umgehendes Update, um die Lücke zu schließen. Betroffen sind alle Versionen von „SEO by Yoast“, die älter sind als die Version 1.7.3.3. Die neueste Version 1.7.4 ist nach bisherigem Kenntnisstand nicht betroffen. Ihr könnt sie auf der offiziellen WordPress-Website herunterladen. Bei mehreren selbst gehosteten WordPress-Instanzen, die das Plugin „Jetpack“ verwenden, könnt ihr über diese Website ein Update für alle Seiten vom zentralen Dashboard aus durchführen.

via thehackernews.com

Finde einen Job, den du liebst

11 Reaktionen
jan
jan

Stimmt so nicht, meine Kunden melden sich nie, wenn wordpress eine Meldung anzeigt/versendet. Will jetzt auch nicht alle wordpress-Installationen auf meine E-Mail leiten. Ich bin dankbar für die Infos, denn nicht jedes Update hat mit Sicherheit zu tun.

Antworten
Insomnia88
Insomnia88

Oh doch, stimmt so. Wordpress prüft jedes mal auf Updates, für sich und installierten Plugins, und das schon seeeehr lange. Wenn sich deine Kunden nicht melden, dann liegt das an ihnen - man muss ja auch ned immer updaten, wenn was neues raus is ;)
Dazu gibt es ja changelogs. Man liest, was in dem Update geändert wurde und weiß bescheid..

Antworten
Insomnia88
Insomnia88

Das "witzigste" an dem Bericht finde ich ja eigentlich, dass jeder, der dieses Plugin nutzt, so wie bei jedem anderen Plugin auch, im wordpress backend eine Nachricht, in Form von Text oder eines Buttons gibt, die dir sagt, dass es ein Update gibt.
Daher habe ich also seit release des Patches von gewusst (was glaube so 2-3 Tage her is).
Somit ist diese News also nur für Leute interessant, die nicht täglich ihre Wordpress Seite besuchen und/oder kein Plugin besitzen, welches ihnen z.B. ne mail schreibt, wenn es ein neues Plugin-Update gibt..

Antworten
jan
jan

Ah! Freitag der 13. verstehe, ... Ich bin dankbar für solche Infos, auch wenn der Inhalt von anderen Webseiten stammt. Link zur Quelle ist ja drin. Danke jedenfalls. Quelloffenes WP ist ja Freund Feind zugleich. Meine Kunden stöhnen gerade wieder: was schon wieder ein Update notwendig, wann hört das mal auf. Antwort: Nie! Da müssen alle durch!

Antworten
Gerrit Kilian

Moin E.,

diese Frage haben sich schon viele gestellt. Aufgrund der Schwere der Sicherheitslücke hat WordPress tatsächlich ein "erzwungenes automatisches Update" durchgeführt. Alle Infos dazu findest du hier: https://yoast.com/wordpress-seo-security-release/

Antworten
E.
E.

Tausend tausend Dank Gerrit. Habe mich so gewundert...

Antworten
E.
E.

Datet sich das SEO Plugin selbst ab? Bin mir sicher das ich die 1.7.3... drauf hatte und doch wurde 1.7.4 angezeigt. Komisch.

Antworten
Peter
Peter

Nahezu 1:1 kopierte News aus einem US-Blog. Selbst der Hinweis zu Jetpack wurde geklaut bzw. genau so übernommen.

SCHÄÄÄÄÄÄÄÄMT EUCH!!!

Quelle sehe ich auf Anhieb auch nicht bei euch.

Antworten
Tobi

Deine Quelle habe ich jetzt aber auch übersehen. :-P

Antworten
dazzle
dazzle

dafür ist t3n ja mittlerweise bekannt

Antworten
Gerrit Kilian

Hallo Peter,

mit dem Quellenverweis hast du Recht, der ist tatsächlich auf der Strecke geblieben. Habe ihn aber jetzt eingefügt.
Die zugrunde liegende Quelle ist allerdings thehackernews.com und nicht irgendein US-Blog. Sollte dieser Blog die gleiche Quelle verwendet haben, wundert mich das nicht. Hackernews ist in meinen Augen eine der besten Quellen für derartige Themen.
Mich würde interessieren, wie du eine kurze News zu diesem Thema weiter ausschmücken würdest, ohne dabei zwangsläufig die selben Informationen zu liefern, die auch andere Publikationen veröffentlichen. Bei einer solchen Nachricht geht es um das Wesentliche, damit die Nutzer entsprechend reagieren können.

Zu Jetpack: Ja, da hast du die Quelle des Ratschlags gefunden. Nur verstehe ich nicht, warum es dich stört, zusätzliche Hinweise zu einem Problem zu bekommen. Natürlich nutzen wir verschiedene Quellen bei der Recherche und natürlich decken wir auch nicht alle Sicherheitslücken selbst auf. Wir wollen unsere Leser über eine Thema informieren und dazu möglichst passende Informationen und Hinweise liefern.

Beste Grüße
Gerrit Kilian

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen