Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

WordPress: Sicherheitslücke erlaubt Änderung von Inhalten durch Dritte

(Foto: Shutterstock)

Eine Sicherheitslücke erlaubt Unbefugten, dass sie die Inhalte einer WordPress-Seite verändern können. In der aktuellen Version 4.7.2 wurde der Fehler bereits behoben.

WordPress-Sicherheitslücke: Blog-Inhalte lassen sich verändern

Wer noch nicht das Update auf WordPress 4.7.2 eingespielt hat, der sollte das jetzt besser nachholen. Mit diesem Update wurde unter anderemstill und heimlich eine Sicherheitslücke gestopft, die Unbefugten die Möglichkeit bietet, die Inhalte auf eurem WordPress-Blog zu verändern. Obwohl WordPress 4.7.2 schon letzte Woche veröffentlicht wurde, sind Details zur Sicherheitslücke erst jetzt bekanntgegeben worden. So sollte den Nutzern Zeit gegeben werden, um das Update einzuspielen.

Konkret ging es bei der Sicherheitslücke um eine fehlerhafte Filterung in der REST-API. Die API wurde in Version 4.7.0 eingeführt. Das Problem: Angreifer können sich auch ohne gültige ID über die API Zugriff auf die Inhalte eines Blogs verschaffen und diese dann sogar abändern. Entdeckt wurde die Sicherheitslücke von dem Sicherheitsanbieter Sucuri, der jetzt Details dazu in einem Blogbeitrag veröffentlicht hat.

WordPress: Die Sicherheitslücke besteht in Version 4.7.0 und 4.7.1. (Screenshot: Sucuri)

WordPress-Sicherheitslücke: Über die Informationspolitik darf diskutiert werden

Dass WordPress den Patch heimlich in das Update auf Version 4.7.2 integriert hat, ist einigermaßen ungewöhnlich. Zumal es bei Veröffentlichung des Updates hieß, dass es zwar Sicherheitslücken schließen würde, deren Bedrohungsgrad aber weder kritisch noch hoch sei. Theoretisch besteht auch die Möglichkeit, dass jemand anhand des Updates auf die Lücke gestoßen ist.

Immerhin heißt es vom WordPress-Team, dass es keine Anzeichen dafür gibt, dass jemand die Lücke ausgenutzt hat. Außerdem hat das Entwickler-Team hinter dem CMS noch vor Veröffentlichung des Updates Kontakt zu CDN-Anbietern wie Cloudflare, Sitelock und Incapsula aufgenommen. Die führten anschließend entsprechende Regeln ein, um zu überprüfen, ob jemand versucht, die Sicherheitslücke auszunutzen. Dem soll zwar nicht so gewesen sein, eine Garantie dafür gibt es aber natürlich nicht.

Ebenfalls interessant:

Bitte beachte unsere Community-Richtlinien

5 Reaktionen
Jens von chocoBRAIN

Falls es jemandem einmal zu lästig wird, in sein CMS regelmäßig Updates, Patches und HotFixes einspielen zu müssen, kann ich ihm den Wechsel zu einer cloudbasierten Marketing Plattform empfehlen: http://www.chocobrain.com Die eigene aufgewendete Zeit muss man schließlich auch als Kosten betrachten...

Karl

Wird mit einem Update auch die Readme.html im Root aktualisiert? Oder sind geschätzt 99% der Seiten meiner Lieblingsrestaurants angreifbar? ^^

davisbrown562

Webseite vor Hackern und Malware schützen - 10 Tipps für mehr Sicherheit http://blog.templatetoaster.com/10-tweaks-that-will-increase-your-wordpress-websites-security/

christoferw

Wer es nicht selbst lösen will kann hier auch via Festpreis WordPress Reparieren lassen: https://weslink.de/shop/

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst