t3n News Software

Kritische Sicherheitslücke: Großteil aller WordPress-Blogs ist betroffen

Kritische Sicherheitslücke: Großteil aller WordPress-Blogs ist betroffen

Eine schwere in der Kommentarfunktion von bedroht die Sicherheit von Millionen von . Nutzer des sollten sofort das notwendige Update einspielen, sofern noch nicht geschehen.

Kritische Sicherheitslücke: Großteil aller WordPress-Blogs ist betroffen

WordPress-Sicherheitslücke. (Foto: Andrew Abogado via flickr , Lizenz CC BY 2.0)

WordPress-Sicherheitslücke: 85 Prozent aller WordPress-Blogs sollen für Cross-Site-Scripting anfällig sein

Der finnische Sicherheitsexperte Jouko Pynnonen hat eine schwerwiegende Sicherheitslücke in WordPress aufgespürt. Damit kann schädlicher Javascript-Code über die Kommentarfelder eingeschleust werden. Wenn ein Administrator einen solchen Kommentar aufruft, beispielsweise um ihn freizuschalten, könnte der Code mit Administratorrechten ausgeführt werden. Der Angreifer könnte so beispielsweise unbemerkt einen neuen Account für sich erstellen oder das Passwort eines bestehenden Administrators ändern. Mittels Ajax-Anfrage könnte der Angreifer sogar Zugriff auf das Server-Betriebssystem erhalten.

Von der Sicherheitslücke sind die WordPress-Versionen 3.0 bis 3.9.2 betroffen. Laut aktuellen Statistiken von WordPress.org wären damit fast 85 Prozent aller Installationen von der Sicherheitslücke betroffen. Blog-Betreiber die eine betroffene Version einsetzen, sollten umgehend das umfangreiche Sicherheitsupdate auf Version 4.0.1 installieren. Mit der Version werden auch eine ganze Reihe weiterer Sicherheitslücken geschlossen. Darunter sind drei weitere Sicherheitslücken, die Cross-Site-Scripting ermöglicht haben sollen.

WordPress-Sicherheitslücke: Nutzer von Version 3.0 bis 3.9 des CMS sollten unbedingt das Sicherheitsupdate einspielen. (Screenshot: WordPress.org)
WordPress-Sicherheitslücke: Nutzer von Version 3.0 bis 3.9 des CMS sollten unbedingt das Sicherheitsupdate einspielen. (Screenshot: WordPress.org)

WordPress-Sicherheitslücke: Auch Nutzer des Plugins WP-Statistics sind gefährdet

Neben dem eigentlichen CMS wurde auch eine Sicherheitslücke in dem beliebten Statistik-Plugin WP-Statistics gefunden. In Version 8.3 oder niedriger soll es Angreifern per Cross-Site-Scripting möglich sein, einen neuen Administrator-Account anzulegen oder SEO-Spam in die Artikel einer Website einzubauen. Ein Update auf Version 8.3.1 des Plugins wird daher ebenfalls dringend empfohlen. Genauere Details zu dieser Sicherheitslücke will der Entdecker Marc-Alexandre Montpas erst in 30 Tagen veröffentlichen, damit Blog-Betreiber genug Zeit haben, das Update einzuspielen.

WordPress ist das beliebteste CMS im ganzen Web. 23,2 Prozent der zehn Millionen größten Websites setzen auf die Software. Insgesamt sollen sogar fast 75 Millionen Websites WordPress nutzen. Daher sind schwerwiegende Sicherheitslücken wie die oben beschriebene auch für reine Internet-Nutzer eine echte Bedrohung. Immerhin könnten Angreifer so auch an persönliche Daten der Besucher kommen.

via www.golem.de

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
24 Antworten
  1. von Kai am 25.11.2014 (12:27 Uhr)

    Ich hoffe, d. die meisten Administratore eh schon das aktuelle Update installieren.
    Es ist ja nicht so, dass es noch irgendwie schwer ist - nur ein Klick und schon ist das System wieder aktuell (und natürlich das Backup vorher nicht vergessen).

    Antworten Teilen
  2. von Teppiche am 25.11.2014 (12:44 Uhr)

    inzwischen übernimmt das Update doch der Wordpress Blog selber. Zumindest bei uns spielt Wordpress nach geraumer Zeit selbst das Update ein.

    Antworten Teilen
    • von Mathuseo am 26.11.2014 (09:46 Uhr)

      Aber nicht bei Versionssprüngen von Version 3x auf 4x. Was du meinst sind zum Beispiel Sicherheits-Updates wie bspw. das letzte von Version 4.0 auf 4.0.1. LG

      Antworten Teilen
      • von kamome am 26.11.2014 (13:00 Uhr)

        Doch, auch für Hauptversionen - mit Folgendem in wp-config.php:

        /*
        * true - Development (if already on dev), minor, and major updates are all enabled
        * false - Development, minor, and major updates are all disabled
        * minor' - Minor updates are enabled, development, and major updates are disabled
        */
        define('WP_AUTO_UPDATE_CORE', true);

        Teilen
  3. von Beatrice am 25.11.2014 (13:55 Uhr)

    Wenn man x Kundenseiten hat sind die Updates doch recht zeitintensiv. Auch müssen die Seiten immer noch getestet werden, hatte es schon öfters erlebt, dass nachher irgendwas nicht mehr sauber funktioniert hat. Drum schalte ich meistens die automatischen Updates aus. Muss man dieses Update auch für reine CMS-Seite ohne Kommentarfunktion, d.h. ohne comments.php machen oder könnten wir hier auf den Update 4.1 warten, der ja auch kurzum erscheint?

    Antworten Teilen
    • von Lisa am 25.11.2014 (14:10 Uhr)

      Leider ist es anscheinend doch öfters Praxis, dass Updates als im Kaufpreis enthalten angesehen werden.

      Es empfiehlt sich für jeden Kunden ein gesonderten Wartungsvertrag auszuhandeln in dem festgehalten wird, welche Updates zu welchen Kosten durchgeführt werden (und wenn man schonmal dabei ist, Backups kosten den Webworker auch Zeit und Geld und sind eben KEINE Selbstverständlichkeit)

      Antworten Teilen
      • von chip am 25.11.2014 (16:59 Uhr)

        Ein gutes Argument, damit sie Wartungsverträge schließen :)

        Ich habe die Erfahrung gemacht, dass einige mit Themes arbeiten, die mit neueren Versionen von WordPress nicht mehr kompatibel sind. Und darauf mächtig Plug-Ins zusammengebastelt haben. Praktisch muss eine Menge da neu eingerichtet werden, wenn man sich einem solchen Fall annimmt..

        Teilen
  4. von philippe am 25.11.2014 (14:59 Uhr)

    Es reicht als schnellen fix gleich nach der dieser Zeile: (in wp-includes/formating.php)

    function wptexturize($text) {

    dies einzufügen damit die Funktion nicht ausgeführt wird.

    return $text;

    Antworten Teilen
    • von Lisa am 25.11.2014 (15:08 Uhr)

      Core Files ändern?

      Worst idea ever.

      Antworten Teilen
      • von philippe am 25.11.2014 (15:24 Uhr)

        Wie gesagt: "schneller fix".

        Konnte so 20 Installationen in 5 Minuten erst mal fixen. Für ein Update und die damit verbundenen Kosten müssen wir sie erst kontaktieren usw...

        Teilen
      • von Mathuseo am 26.11.2014 (09:49 Uhr)

        Wieso @Lisa? Für den schnellen Fix und als temporäre Lösung bis zum Update (falls mit dem Kunden kommuniziert werden muss) ist es doch eine kluge Idee.

        Teilen
      • von philippe am 26.11.2014 (11:03 Uhr)

        Die Realität bei Klein- und Kleinstbetrieben sieht halt einfach anders aus. "Was schon wieder Geld bezahlen für die Webseite? Ist doch egal, wenn es gehackt wird dann spielen wir halt ein Backup ein....".
        Sage nicht dass das optimal ist aber so siehts halt bei bei vielen Kunden aus.

        Teilen
      • von Mathuseo am 26.11.2014 (11:27 Uhr)

        Das sind auch meine Erfahrungen. Wir haben uns zum Beispiel für Kundenprojekt entschieden, die Updates immer gleich mitzumachen, inkl. der Backups. Das gehört dann einfach zum Ful-Service. Nicht selten ist sonst der Kommunikationsaufwand größer, als die eigentliche Arbeit. Inkl. dem "Problem", dass der Kunde regelmäßig mit kleineren Beträgen konfrontiert wird, wieder für technische Tätigkeiten an der Website. Davon wollen die vor allem kleinen Kunden einfach nichts wissen. Wie man es als Webmaster oder betreuende Agentur handhabt, muss letztendlich aber jeder für sich entscheiden.

        Teilen
      • von Lisa am 26.11.2014 (18:14 Uhr)

        Wieso das Verändern der Core Files eine schlechte Idee ist?

        Angenommen der Kunde bekundet keinerlei Interesse an einem ordnungsgemäßem Update, was passiert dann? Hotfix rausnehmen? Drin lassen?

        Angenommen der Hotfix wird im Code gelassen, wo wird es dokumentiert? Sollte die Seite irgendwann korrekt updatet werden (bspw. durch einen Mitarbeiter) könnte dieser Hotfix wenn nicht bekannt zu Fehlern führen. Der Overhead an Wissensmanagement, den dieser Hotfix mitsichführt ist ab zwei Webworkern kaum tragbar. Das gilt natürlich auch, wenn das Projekt an eine andere Agentur übergeben werden soll.

        Man könnte den Hotfix natürlich auch wieder rausnehmen, sollte der Kunde das - wie auch immer - mitbekommen hat man aber einen Kunden weniger.

        Zudem 99,99% aller Webworker nicht wissen, wo diese Funktion überall verwendet wird und was eine Veränderung für Folgeschäden verursachen könnte.

        Teilen
  5. von Susanna Künzl am 25.11.2014 (18:00 Uhr)

    Was mich am meisten schockiert: 85% aller Wordpress-Websites in freier Wildbahn sind seit ein paar Monaten nicht mehr aktualisiert worden! Wer sein Auto betriebsbereit braucht, bringt es doch auch zur Inspektion. Software ist genausowenig wartungsfrei wie der fahrbare Untersatz. Deshalb bieten wir unseren Kunden auch einen regelmäßigen Update-Service an. Den nehme ich von meinem Autohaus des Vertrauens ja auch gerne in Anspruch :)

    Antworten Teilen
    • von Insomnia88 am 26.11.2014 (13:22 Uhr)

      Ich kenne den Fall in meinem Arbeitsumfeld auch. Das Problem liegt, wie schon angemerkt wurde, an den Plugins, daher hinkt der Auto Vergleich. Es ist eher so, man lässt ein Auto warten und nachher funktioniert es ironischer Weise nur noch zu 10%.
      Vor allem jetzt zur Weihnachtszeit haben kleine Unternehmen nicht mal im Ansatz die Ressourcen um das komplette System mit allen Abhängigkeiten quasi rekursiv upzugraden.

      Antworten Teilen
  6. von keingf am 26.11.2014 (01:19 Uhr)

    Puh habe noch ca. 20 Wordpress Blogs die seit einem Jahr kein Update gefahren haben. Das kommt für morgen oder das Wochenende auf die Todo. Es ist zwar nur ein Klick, aber bei so vielen Blogs verliert man schnell den Überblick / Lust.

    Antworten Teilen
    • von Mathuseo am 26.11.2014 (09:50 Uhr)

      Das hört man leider viel zu oft. Sollte man aber nicht ;-) Sein CMS auf einen aktuellen Stand zu halten, gehört zu einem guten Webmaster genauso dazu, wie gute Inhalte zur Verfügung zu stellen. Lieber 10 Blogs ohne Sicherheitslücken als 20 mit ;-) LG

      Antworten Teilen
  7. von Felix am 26.11.2014 (09:16 Uhr)

    Entschuldigung aber ich kann es mir einfach nicht verkneifen: Wer Spaghetti-Wordpress nutzt ist auch selber schuld.

    Antworten Teilen
    • von Insomnia88 am 26.11.2014 (13:17 Uhr)

      Alternative? Typo3 und co? Die haben genauso viel Sicherheitslücken... Ist nix neues. Wordpress steht da nicht viel schlechter dar und muss auch nicht erst "erlernt" werden.

      Antworten Teilen
    • von Christoph am 26.11.2014 (16:24 Uhr)

      Entschuldigung aber ich kann es mir einfach nicht verkneifen:
      Wer immer noch mit dieser Masche Produkte angreift, hat sie nicht mehr alle. Ist wie das ewige OS X / Windows und Android / iOS Gedöns. Jedem sein System und für jeden Einsatzzweck das passende CMS.
      Viel wichtiger als das CMS ist meiner Meinung nach sowieso was die Agentur draus macht.

      Antworten Teilen
    • von Lisa am 26.11.2014 (18:03 Uhr)

      Sicherheitslücken haben nur bedingt mit der Code Qualität zu tun, wie Drupalgeddon gezeigt hat.

      Antworten Teilen
  8. von Hermandl am 26.11.2014 (22:56 Uhr)

    >>Der finnische Sicherheitsexperte Jouko Pynnonen...
    Ich meine, der Mann heißt wahrscheinlich Pynnönen (finnische Vokalharmonie!).

    Antworten Teilen
  9. von Nadine Schmelter am 27.11.2014 (23:32 Uhr)

    Jedes System hat seine Lücken und Schwachstellen. Und im Mittelpunkt sollte die Lösung für das Problem stehen. Einem schnellen Fix steht nichts im Wege solange die Sicherheit für den kurzen Zeitraum auf diese Weise erhöht wird. Wichtig ist der Hinweis als Dienstleister und das Angebot, kurzfristig die entsprechenden Updates durchzuführen.

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Blog
Joomla!, WordPress, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (April)
Joomla!, WordPress, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (April)

Bei den großen CMS gibt es regelmäßig Updates, die neue Funktionen liefern oder Sicherheitslücken schließen. Die wichtigsten Updates aus dem April stellen wir euch hier kurz vor. » weiterlesen

Von der Blog-Plattform zum Domain-Anbieter: Warum Wordpress 19 Millionen Dollar für .blog gezahlt hat
Von der Blog-Plattform zum Domain-Anbieter: Warum Wordpress 19 Millionen Dollar für .blog gezahlt hat

Automattic, das Unternehmen hinter Wordpress, hat vergangenes Jahr die Top-Level-Domain .blog ersteigert. Die Domains will der Blog-Betreiber auch außerhalb von Wordpress verkaufen. » weiterlesen

Joomla!, WordPress, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (März)
Joomla!, WordPress, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (März)

Bei den großen CMS gibt es regelmäßig Updates, die neue Funktionen liefern oder Sicherheitslücken schließen. Die wichtigsten Updates aus dem März stellen wir euch hier kurz vor. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?