Das könnte dich auch interessieren

Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software

Kritische Sicherheitslücke: Großteil aller WordPress-Blogs ist betroffen

    Kritische Sicherheitslücke: Großteil aller WordPress-Blogs ist betroffen

WordPress-Sicherheitslücke. (Foto: Andrew Abogado via flickr , Lizenz CC BY 2.0)

Eine schwere Sicherheitslücke in der Kommentarfunktion von WordPress bedroht die Sicherheit von Millionen von Blogs. Nutzer des CMS sollten sofort das notwendige Update einspielen, sofern noch nicht geschehen.

WordPress-Sicherheitslücke: 85 Prozent aller WordPress-Blogs sollen für Cross-Site-Scripting anfällig sein

Der finnische Sicherheitsexperte Jouko Pynnonen hat eine schwerwiegende Sicherheitslücke in WordPress aufgespürt. Damit kann schädlicher Javascript-Code über die Kommentarfelder eingeschleust werden. Wenn ein Administrator einen solchen Kommentar aufruft, beispielsweise um ihn freizuschalten, könnte der Code mit Administratorrechten ausgeführt werden. Der Angreifer könnte so beispielsweise unbemerkt einen neuen Account für sich erstellen oder das Passwort eines bestehenden Administrators ändern. Mittels Ajax-Anfrage könnte der Angreifer sogar Zugriff auf das Server-Betriebssystem erhalten.

Von der Sicherheitslücke sind die WordPress-Versionen 3.0 bis 3.9.2 betroffen. Laut aktuellen Statistiken von WordPress.org wären damit fast 85 Prozent aller Installationen von der Sicherheitslücke betroffen. Blog-Betreiber die eine betroffene Version einsetzen, sollten umgehend das umfangreiche Sicherheitsupdate auf Version 4.0.1 installieren. Mit der Version werden auch eine ganze Reihe weiterer Sicherheitslücken geschlossen. Darunter sind drei weitere Sicherheitslücken, die Cross-Site-Scripting ermöglicht haben sollen.

WordPress-Sicherheitslücke: Nutzer von Version 3.0 bis 3.9 des CMS sollten unbedingt das Sicherheitsupdate einspielen. (Screenshot: WordPress.org)
WordPress-Sicherheitslücke: Nutzer von Version 3.0 bis 3.9 des CMS sollten unbedingt das Sicherheitsupdate einspielen. (Screenshot: WordPress.org)

WordPress-Sicherheitslücke: Auch Nutzer des Plugins WP-Statistics sind gefährdet

Neben dem eigentlichen CMS wurde auch eine Sicherheitslücke in dem beliebten Statistik-Plugin WP-Statistics gefunden. In Version 8.3 oder niedriger soll es Angreifern per Cross-Site-Scripting möglich sein, einen neuen Administrator-Account anzulegen oder SEO-Spam in die Artikel einer Website einzubauen. Ein Update auf Version 8.3.1 des Plugins wird daher ebenfalls dringend empfohlen. Genauere Details zu dieser Sicherheitslücke will der Entdecker Marc-Alexandre Montpas erst in 30 Tagen veröffentlichen, damit Blog-Betreiber genug Zeit haben, das Update einzuspielen.

WordPress ist das beliebteste CMS im ganzen Web. 23,2 Prozent der zehn Millionen größten Websites setzen auf die Software. Insgesamt sollen sogar fast 75 Millionen Websites WordPress nutzen. Daher sind schwerwiegende Sicherheitslücken wie die oben beschriebene auch für reine Internet-Nutzer eine echte Bedrohung. Immerhin könnten Angreifer so auch an persönliche Daten der Besucher kommen.

via www.golem.de

Finde einen Job, den du liebst zum Thema Social Media, Android

24 Reaktionen
Kai
Kai
25.11.2014, 12:27 Uhr

Ich hoffe, d. die meisten Administratore eh schon das aktuelle Update installieren.
Es ist ja nicht so, dass es noch irgendwie schwer ist - nur ein Klick und schon ist das System wieder aktuell (und natürlich das Backup vorher nicht vergessen).

Antworten

Teppiche
Teppiche
25.11.2014, 12:44 Uhr

inzwischen übernimmt das Update doch der Wordpress Blog selber. Zumindest bei uns spielt Wordpress nach geraumer Zeit selbst das Update ein.

Antworten

Mathuseo
Mathuseo
26.11.2014, 09:46 Uhr

Aber nicht bei Versionssprüngen von Version 3x auf 4x. Was du meinst sind zum Beispiel Sicherheits-Updates wie bspw. das letzte von Version 4.0 auf 4.0.1. LG

Antworten

kamome
kamome
26.11.2014, 13:00 Uhr

Doch, auch für Hauptversionen - mit Folgendem in wp-config.php:

/*
* true - Development (if already on dev), minor, and major updates are all enabled
* false - Development, minor, and major updates are all disabled
* minor' - Minor updates are enabled, development, and major updates are disabled
*/
define('WP_AUTO_UPDATE_CORE', true);

Beatrice
Beatrice
25.11.2014, 13:55 Uhr

Wenn man x Kundenseiten hat sind die Updates doch recht zeitintensiv. Auch müssen die Seiten immer noch getestet werden, hatte es schon öfters erlebt, dass nachher irgendwas nicht mehr sauber funktioniert hat. Drum schalte ich meistens die automatischen Updates aus. Muss man dieses Update auch für reine CMS-Seite ohne Kommentarfunktion, d.h. ohne comments.php machen oder könnten wir hier auf den Update 4.1 warten, der ja auch kurzum erscheint?

Antworten

Lisa
Lisa
25.11.2014, 14:10 Uhr

Leider ist es anscheinend doch öfters Praxis, dass Updates als im Kaufpreis enthalten angesehen werden.

Es empfiehlt sich für jeden Kunden ein gesonderten Wartungsvertrag auszuhandeln in dem festgehalten wird, welche Updates zu welchen Kosten durchgeführt werden (und wenn man schonmal dabei ist, Backups kosten den Webworker auch Zeit und Geld und sind eben KEINE Selbstverständlichkeit)

Antworten

chip
chip
25.11.2014, 16:59 Uhr

Ein gutes Argument, damit sie Wartungsverträge schließen :)

Ich habe die Erfahrung gemacht, dass einige mit Themes arbeiten, die mit neueren Versionen von WordPress nicht mehr kompatibel sind. Und darauf mächtig Plug-Ins zusammengebastelt haben. Praktisch muss eine Menge da neu eingerichtet werden, wenn man sich einem solchen Fall annimmt..

philippe
philippe
25.11.2014, 14:59 Uhr

Es reicht als schnellen fix gleich nach der dieser Zeile: (in wp-includes/formating.php)

function wptexturize($text) {

dies einzufügen damit die Funktion nicht ausgeführt wird.

return $text;

Antworten

Lisa
Lisa
25.11.2014, 15:08 Uhr

Core Files ändern?

Worst idea ever.

Antworten

philippe
philippe
25.11.2014, 15:24 Uhr

Wie gesagt: "schneller fix".

Konnte so 20 Installationen in 5 Minuten erst mal fixen. Für ein Update und die damit verbundenen Kosten müssen wir sie erst kontaktieren usw...

Mathuseo
Mathuseo
26.11.2014, 09:49 Uhr

Wieso @Lisa? Für den schnellen Fix und als temporäre Lösung bis zum Update (falls mit dem Kunden kommuniziert werden muss) ist es doch eine kluge Idee.

philippe
philippe
26.11.2014, 11:03 Uhr

Die Realität bei Klein- und Kleinstbetrieben sieht halt einfach anders aus. "Was schon wieder Geld bezahlen für die Webseite? Ist doch egal, wenn es gehackt wird dann spielen wir halt ein Backup ein....".
Sage nicht dass das optimal ist aber so siehts halt bei bei vielen Kunden aus.

Mathuseo
Mathuseo
26.11.2014, 11:27 Uhr

Das sind auch meine Erfahrungen. Wir haben uns zum Beispiel für Kundenprojekt entschieden, die Updates immer gleich mitzumachen, inkl. der Backups. Das gehört dann einfach zum Ful-Service. Nicht selten ist sonst der Kommunikationsaufwand größer, als die eigentliche Arbeit. Inkl. dem "Problem", dass der Kunde regelmäßig mit kleineren Beträgen konfrontiert wird, wieder für technische Tätigkeiten an der Website. Davon wollen die vor allem kleinen Kunden einfach nichts wissen. Wie man es als Webmaster oder betreuende Agentur handhabt, muss letztendlich aber jeder für sich entscheiden.

Lisa
Lisa
26.11.2014, 18:14 Uhr

Wieso das Verändern der Core Files eine schlechte Idee ist?

Angenommen der Kunde bekundet keinerlei Interesse an einem ordnungsgemäßem Update, was passiert dann? Hotfix rausnehmen? Drin lassen?

Angenommen der Hotfix wird im Code gelassen, wo wird es dokumentiert? Sollte die Seite irgendwann korrekt updatet werden (bspw. durch einen Mitarbeiter) könnte dieser Hotfix wenn nicht bekannt zu Fehlern führen. Der Overhead an Wissensmanagement, den dieser Hotfix mitsichführt ist ab zwei Webworkern kaum tragbar. Das gilt natürlich auch, wenn das Projekt an eine andere Agentur übergeben werden soll.

Man könnte den Hotfix natürlich auch wieder rausnehmen, sollte der Kunde das - wie auch immer - mitbekommen hat man aber einen Kunden weniger.

Zudem 99,99% aller Webworker nicht wissen, wo diese Funktion überall verwendet wird und was eine Veränderung für Folgeschäden verursachen könnte.

Susanna Künzl
Susanna Künzl
25.11.2014, 18:00 Uhr

Was mich am meisten schockiert: 85% aller Wordpress-Websites in freier Wildbahn sind seit ein paar Monaten nicht mehr aktualisiert worden! Wer sein Auto betriebsbereit braucht, bringt es doch auch zur Inspektion. Software ist genausowenig wartungsfrei wie der fahrbare Untersatz. Deshalb bieten wir unseren Kunden auch einen regelmäßigen Update-Service an. Den nehme ich von meinem Autohaus des Vertrauens ja auch gerne in Anspruch :)

Antworten

Insomnia88
Insomnia88
26.11.2014, 13:22 Uhr

Ich kenne den Fall in meinem Arbeitsumfeld auch. Das Problem liegt, wie schon angemerkt wurde, an den Plugins, daher hinkt der Auto Vergleich. Es ist eher so, man lässt ein Auto warten und nachher funktioniert es ironischer Weise nur noch zu 10%.
Vor allem jetzt zur Weihnachtszeit haben kleine Unternehmen nicht mal im Ansatz die Ressourcen um das komplette System mit allen Abhängigkeiten quasi rekursiv upzugraden.

Antworten

keingf
keingf
26.11.2014, 01:19 Uhr

Puh habe noch ca. 20 Wordpress Blogs die seit einem Jahr kein Update gefahren haben. Das kommt für morgen oder das Wochenende auf die Todo. Es ist zwar nur ein Klick, aber bei so vielen Blogs verliert man schnell den Überblick / Lust.

Antworten

Mathuseo
Mathuseo
26.11.2014, 09:50 Uhr

Das hört man leider viel zu oft. Sollte man aber nicht ;-) Sein CMS auf einen aktuellen Stand zu halten, gehört zu einem guten Webmaster genauso dazu, wie gute Inhalte zur Verfügung zu stellen. Lieber 10 Blogs ohne Sicherheitslücken als 20 mit ;-) LG

Antworten

Felix
Felix
26.11.2014, 09:16 Uhr

Entschuldigung aber ich kann es mir einfach nicht verkneifen: Wer Spaghetti-Wordpress nutzt ist auch selber schuld.

Antworten

Insomnia88
Insomnia88
26.11.2014, 13:17 Uhr

Alternative? Typo3 und co? Die haben genauso viel Sicherheitslücken... Ist nix neues. Wordpress steht da nicht viel schlechter dar und muss auch nicht erst "erlernt" werden.

Antworten

Christoph
Christoph
26.11.2014, 16:24 Uhr

Entschuldigung aber ich kann es mir einfach nicht verkneifen:
Wer immer noch mit dieser Masche Produkte angreift, hat sie nicht mehr alle. Ist wie das ewige OS X / Windows und Android / iOS Gedöns. Jedem sein System und für jeden Einsatzzweck das passende CMS.
Viel wichtiger als das CMS ist meiner Meinung nach sowieso was die Agentur draus macht.

Antworten

Lisa
Lisa
26.11.2014, 18:03 Uhr

Sicherheitslücken haben nur bedingt mit der Code Qualität zu tun, wie Drupalgeddon gezeigt hat.

Antworten

Hermandl
Hermandl
26.11.2014, 22:56 Uhr

>>Der finnische Sicherheitsexperte Jouko Pynnonen...
Ich meine, der Mann heißt wahrscheinlich Pynnönen (finnische Vokalharmonie!).

Antworten

Nadine Schmelter
Nadine Schmelter
27.11.2014, 23:32 Uhr

Jedes System hat seine Lücken und Schwachstellen. Und im Mittelpunkt sollte die Lösung für das Problem stehen. Einem schnellen Fix steht nichts im Wege solange die Sicherheit für den kurzen Zeitraum auf diese Weise erhöht wird. Wichtig ist der Hinweis als Dienstleister und das Angebot, kurzfristig die entsprechenden Updates durchzuführen.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen