News

WordPress: Sicherheitslücke erlaubt Änderung von Inhalten durch Dritte

(Foto: Shutterstock)

Eine Sicherheitslücke erlaubt Unbefugten, dass sie die Inhalte einer WordPress-Seite verändern können. In der aktuellen Version 4.7.2 wurde der Fehler bereits behoben.

WordPress-Sicherheitslücke: Blog-Inhalte lassen sich verändern

Wer noch nicht das Update auf WordPress 4.7.2 eingespielt hat, der sollte das jetzt besser nachholen. Mit diesem Update wurde unter anderemstill und heimlich eine Sicherheitslücke gestopft, die Unbefugten die Möglichkeit bietet, die Inhalte auf eurem WordPress-Blog zu verändern. Obwohl WordPress 4.7.2 schon letzte Woche veröffentlicht wurde, sind Details zur Sicherheitslücke erst jetzt bekanntgegeben worden. So sollte den Nutzern Zeit gegeben werden, um das Update einzuspielen.

Konkret ging es bei der Sicherheitslücke um eine fehlerhafte Filterung in der REST-API. Die API wurde in Version 4.7.0 eingeführt. Das Problem: Angreifer können sich auch ohne gültige ID über die API Zugriff auf die Inhalte eines Blogs verschaffen und diese dann sogar abändern. Entdeckt wurde die Sicherheitslücke von dem Sicherheitsanbieter Sucuri, der jetzt Details dazu in einem Blogbeitrag veröffentlicht hat.

WordPress: Die Sicherheitslücke besteht in Version 4.7.0 und 4.7.1. (Screenshot: Sucuri)

WordPress-Sicherheitslücke: Über die Informationspolitik darf diskutiert werden

Dass WordPress den Patch heimlich in das Update auf Version 4.7.2 integriert hat, ist einigermaßen ungewöhnlich. Zumal es bei Veröffentlichung des Updates hieß, dass es zwar Sicherheitslücken schließen würde, deren Bedrohungsgrad aber weder kritisch noch hoch sei. Theoretisch besteht auch die Möglichkeit, dass jemand anhand des Updates auf die Lücke gestoßen ist.

Immerhin heißt es vom WordPress-Team, dass es keine Anzeichen dafür gibt, dass jemand die Lücke ausgenutzt hat. Außerdem hat das Entwickler-Team hinter dem CMS noch vor Veröffentlichung des Updates Kontakt zu CDN-Anbietern wie Cloudflare, Sitelock und Incapsula aufgenommen. Die führten anschließend entsprechende Regeln ein, um zu überprüfen, ob jemand versucht, die Sicherheitslücke auszunutzen. Dem soll zwar nicht so gewesen sein, eine Garantie dafür gibt es aber natürlich nicht.

Ebenfalls interessant:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

5 Kommentare
christoferw
christoferw

Wer es nicht selbst lösen will kann hier auch via Festpreis WordPress Reparieren lassen: https://weslink.de/shop/

Antworten
davisbrown562
davisbrown562

Webseite vor Hackern und Malware schützen – 10 Tipps für mehr Sicherheit http://blog.templatetoaster.com/10-tweaks-that-will-increase-your-wordpress-websites-security/

Antworten
Karl
Karl

Wird mit einem Update auch die Readme.html im Root aktualisiert? Oder sind geschätzt 99% der Seiten meiner Lieblingsrestaurants angreifbar? ^^

Antworten
Jens von chocoBRAIN

Falls es jemandem einmal zu lästig wird, in sein CMS regelmäßig Updates, Patches und HotFixes einspielen zu müssen, kann ich ihm den Wechsel zu einer cloudbasierten Marketing Plattform empfehlen: http://www.chocobrain.com Die eigene aufgewendete Zeit muss man schließlich auch als Kosten betrachten…

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.