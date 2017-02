Eine Sicherheitslücke erlaubt Unbefugten, dass sie die Inhalte einer WordPress-Seite verändern können. In der aktuellen Version 4.7.2 wurde der Fehler bereits behoben.

WordPress-Sicherheitslücke: Blog-Inhalte lassen sich verändern

Wer noch nicht das Update auf WordPress 4.7.2 eingespielt hat, der sollte das jetzt besser nachholen. Mit diesem Update wurde unter anderemstill und heimlich eine Sicherheitslücke gestopft, die Unbefugten die Möglichkeit bietet, die Inhalte auf eurem WordPress-Blog zu verändern. Obwohl WordPress 4.7.2 schon letzte Woche veröffentlicht wurde, sind Details zur Sicherheitslücke erst jetzt bekanntgegeben worden. So sollte den Nutzern Zeit gegeben werden, um das Update einzuspielen.

Konkret ging es bei der Sicherheitslücke um eine fehlerhafte Filterung in der REST-API. Die API wurde in Version 4.7.0 eingeführt. Das Problem: Angreifer können sich auch ohne gültige ID über die API Zugriff auf die Inhalte eines Blogs verschaffen und diese dann sogar abändern. Entdeckt wurde die Sicherheitslücke von dem Sicherheitsanbieter Sucuri, der jetzt Details dazu in einem Blogbeitrag veröffentlicht hat.

WordPress: Die Sicherheitslücke besteht in Version 4.7.0 und 4.7.1. (Screenshot: Sucuri)

WordPress-Sicherheitslücke: Über die Informationspolitik darf diskutiert werden

Dass WordPress den Patch heimlich in das Update auf Version 4.7.2 integriert hat, ist einigermaßen ungewöhnlich. Zumal es bei Veröffentlichung des Updates hieß, dass es zwar Sicherheitslücken schließen würde, deren Bedrohungsgrad aber weder kritisch noch hoch sei. Theoretisch besteht auch die Möglichkeit, dass jemand anhand des Updates auf die Lücke gestoßen ist.

Immerhin heißt es vom WordPress-Team, dass es keine Anzeichen dafür gibt, dass jemand die Lücke ausgenutzt hat. Außerdem hat das Entwickler-Team hinter dem CMS noch vor Veröffentlichung des Updates Kontakt zu CDN-Anbietern wie Cloudflare, Sitelock und Incapsula aufgenommen. Die führten anschließend entsprechende Regeln ein, um zu überprüfen, ob jemand versucht, die Sicherheitslücke auszunutzen. Dem soll zwar nicht so gewesen sein, eine Garantie dafür gibt es aber natürlich nicht.

