Heute noch eine kurze Sicherheitsinformation, die mir als Betreiber einer WordPress-Installation vom Sicherheitsanbieter WordFence zugegangen ist. Der WordPress-Server hatte eine Sicherheitslücke, die WordPress-Installation gefährdete.
Anzeige
Die Sicherheitslücke im WordPress.org-Server wurde kürzlich von WordFence entdeckt und im Beitrag Hacking 27% of the Web via WordPress Auto-Update beschrieben. Über die WordPress.org-Server werden nicht nur die Updates für den Core (die WordPress-Installation) sondern aus Theme-Dateien und Plugins für WordPress-Installationen aktualisiert.
(Quelle: WordFence)
Durch eine Sicherheitslücke wäre es Angreifern möglich gewesen, auf das WordPress-Auto-Update-System zuzugreifen und Malware auf Webseiten automatisiert auszurollen. Denn das Auto-Update wurde von WordPress in irgend einer der letzten Versionen eingeführt (ich habe es abgeschaltet). Dadurch wäre es einem Angreifer möglich geweisen, bis zu 27 % des gesamten Webs mit einem einzelnen Hack zu kompromittieren.
WordFence hat das Problem an das WordPress Team weiter gegeben, die die Lücke binnen weniger Stunden behoben hat. Im verlinkten Blog-Beitrag hat das WordFence-Team nun die Sicherheitslücke dokumentiert. Nachtrag: Bei heise.de gibt es einen deutschsprachigen Artikel zum Thema.
Anzeige
Anzeige
"Denn das Auto-Update wurde von WordPress in irgend einer der letzten Versionen eingeführt (ich habe es abgeschaltet)"
…jaaa, schon nicht schlecht, dann und wann, wenn man Updates auch abschalten kann…
Oder?
Bei WP imho lebenswichtig, denn ein Update kann die gesamte Installation aufs Kreuz legen. Ohne Backup der Datenbank wird hier nichts aktualisiert.