Update-Warnung: Schwere Sicherheitslücken in zwei WordPress-Plugins
(Foto: 360b / Shutterstock.com)
Im Profile-Builder kann jeder zum Admin werden
Im bereits vorhandenen Update zum Mitgliederverwaltungs-Plugin Profile Builder haben die Entwickler eine Sicherheitslücke der höchsten Gefährdungsstufe geschlossen.
In der Free-, Hobbyist- und Pro-Version steckt ein Fehler, der es Angreifern mit wenig Aufwand erlaubt. die volle Kontrolle über die attackierte WordPress-Website zu erlangen.
Angriffe können dabei direkt über das Internet und ohne Authentifizierung stattfinden. Mit der Profile-Builder-Version 3.1.1 beseitigt der Hersteller das Problem. Alle älteren Versionen sind gefährdet. Laut Herstellerangabe sind indes bislang keine aktiven Angriffe auf die Schwachstelle registriert worden.
Der Profile-Builder gibt Seiten-Besuchern die Möglichkeit, Profile anzulegen und zu bearbeiten. Aufgrund der Schwachstelle können Angreifer Eingaben für nicht vorhandene Felder abschicken. Das Problem besteht nun darin, dass es unter bestimmten Umständen dadurch möglich ist, sich ein Admin-Profil anzulegen und damit die Seite zu übernehmen. Dazu bedarf es allerdings zusätzlich eines Formulars ohne ein Feld für die Vergabe von Nutzerrechten für registrierte Nutzer. Das müsste der Admin zuvor angelegt haben.
Themegrill löscht gleich die ganze Datenbank
Mit dem WordPress-Plugin Themegrill-Demo-Importer können Nutzer die komplette WP-Datenbank neu aufsetzen. Das dient dem Einspielen von Demo-Content, kann jedoch auch dazu genutzt werden, die WordPress-Installation zu übernehmen.
Ausfindig gemacht hat die Sicherheitslücke die IT-Sicherheitsfirma WebARX. Die Experten warnen im Zusammenhang mit dem Plugin vor zwei Gefahren. Zum einen können böswillige Verwender die komplette WP-Datenbank löschen. Dazu ist nicht einmal eine Authentifizierung nötig. Zum anderen könnten Angreifer die WP-Installation sogar komplett übernehmen und etwa beliebigen Code ausführen, sofern es einen Nutzer mit dem Benutzernamen „admin“ im System gibt.
Im Grunde dient der Demo-Importer von den Theme-Händlern von Themegrill dazu, schnell Beispielinhalte in ein Design zu pumpen, um die Optik besser beurteilen zu können. Bequemerweise verfügt das Plugin zudem über eine Funktion, eben diese Inhalte mit einer einfachen Aktion auch wieder zu entfernen.
Der Haken an der Sache ist, dass diese Funktion über eine bestimmte GET-Variable in der URL aktiviert wird. Dazu ist es nicht erforderlich, als Benutzer eingeloggt zu sein. So könnte ein findiger URL-Bastler im Handumdrehen ganze Websites mit allen Inhalten löschen.
Noch perfider ist, dass die gleiche Funktion einen eventuell vorhandenen Account mit dem Benutzernamen „admin“ nach dem Resetten der Datenbank erneut anlegt. Dabei wird der Nutzer, der die Aktion ausführt, praktischerweise direkt als solcher eingeloggt. Schneller lässt sich kaum der Seiten-Admin werden. Danach besteht Vollzugriff auf die WP-Installation.
Im Gegensatz zu der oben genannten Lücke im Profile-Builder wird die Themegrill-Lücke bereits aktiv und mit Erfolg attackiert. Nutzer sollten entweder sofort updaten oder das Plugin deaktivieren. Es wird im täglichen Betrieb ohnehin nicht benötigt.
Passend dazu: 400.000 Websites betroffen: Ernste Sicherheitslücken in 3 WordPress-Plugins entdeckt
Generell sollte man so wenige Plugins wie möglich verwenden, das ist meine Empfehlung als langjährige WordPress-Nutzerin.
Hallo zusammen,
ich denke, dass man WordPress generell sehr schlank halten kann. Nicht aktuelle Themen und Plugins sind sowieso ein Sicherheitsrisiko. Man kann dieses aber von selbst lösen, indem man entweder über Raidboxes gehostet ist und dort immer Backups hat bzw. automatische Updates einstellen kann, als das auch Wordfence eine Autoupdate Funktion hat. Alles andere ist Basic. Sucuri oder Cerber sind auch gut gegen XMLRPC Attacken.