Kritische WordPress-Lücke entdeckt

• 26 November 2014
• von: Nicole Kühne
• Kategorien: Allgemein
• Tags: Sicherheitslücke, WordPress

Das WordPress-Team weist darauf hin, dass in zahlreichen WordPress-Versionen eine schwerwiegende Sicherheitslücke entdeckt wurde. Anfällig sind die Versionen 3.0 bis 3.9.2, womit lt. dem WordPress-Team 86 Prozent aller im Einsatz befindlichen Installationen betroffen sind.

Konkret erlaubt die entdeckte Sicherheitslücke das Einschleusen von schädlichem Javascript-Code über die Kommentarfelder eines Beitrags. Besonders kritisch ist dabei, dass der eingeschleuste Code für den Administrator bei der Freischaltung eines Kommentars nicht in jedem Fall auf Anhieb sichtbar ist. Wird die kritische WordPress-Lücke ausgenutzt, ermöglicht diese es dem Angreifer unter anderem, das Administrator-Kennwort zu ändern, weitere Administrator-Accounts anzulegen oder beliebigen Code im Kontext des WordPress-Benutzers auszuführen.

Die Entwickler raten daher dringend zu einem Update aller WordPress-Versionen unterhalb der Version 4.0.1.

Generell raten auch wir dazu, sämtliche Software-Installationen (auch abseits von WordPress) regelmäßig zu aktualisieren. Hierfür ist es i.d.R. lediglich erforderlich, sich regelmäßig in das Administrator-Backend einzuloggen, um zu sehen, ob ein Update zur Verfügung steht und dieses nötigenfalls (ggf. manuell) auszuführen.

Hinweis:

Alle ab sofort über den Power-Netz Installations-Manager durchgeführten WordPress-Installationen erfolgen bereits mit der neuen Version 4.0.1. Sollten Sie Ihre WordPress-Installation zu einem früheren Zeitpunkt durchgeführt haben, ist es zwingend erforderlich, dass Sie das Update manuell über das Administrator-Backend durchführen, sofern Sie die Auto-Update-Funktion von WordPress nicht aktiviert haben.

Weiterführende Links zu diesem Thema (Auswahl):

– WordPress
– Golem
– t3n Magazin