WordPress Stored XSS Sicherheitslücke schließen

WordPress – Stored XSS – Dringende Sicherheitsupdates – jetzt durchführen

Lesezeit: 2 Minuten

Administratoren des Content Management Systems WordPress sind derzeit im Dauerstress. Die Updates geben sich im Moment die Klinke in die Hand. Gerade erst kam das Update auf WordPress 4.2, das wichtige Sicherheitsupdates enthielt, kaum kommt wenige Tage später das Update auf 4.2.1, das weitere Sicherheitslöcher stopft.

Welche Gefahren drohen bei WordPress derzeit?

WordPress ist mit über 6 Millionen Installationen weltweit das meistgenutzte Content Management System. Das bringt mit sich, dass zahlreiche Angriffsversuche auf dieses System unternommen werden.

Eine neu entdeckte Sicherheitslücke ermöglicht das Einschleußen von JavaScript-Code über die Kommentarfunktion mit Hilfe von Stored Cross Site Scripting (Stored XSS). Darunter versteht man eine HTML-Injektion, mit deren Hilfe Daten verändert werden können.

Die am weitesten verbreitete Angriffspunkte bieten Kommentarfunktionen und Eingabeformulare einer Website.

Wenn sich nun ein Administrator in das System einloggt und sich eine mit schadhaftem Code versehene Nachricht außerhalb des Administrations-Backends anzeigen lässt, kann das Administrationskonto übernommen werden – ein Angreifer erhält die komplette (!!) Kontrolle über die WordPress Installation.

 

 

Das Update auf 4.2 wurde gemacht. Bin ich sicher?

Nein. Das Update auf 4.2.1 muss separat eingespielt werden.

 

Welche Möglichkeiten gibt es, solche Gefahren schnell in den Griff zu bekommen?

Gerade für kleine und mittelständische Unternehmen bedeutet die permanente Pflege der Seiten einen großen (vor allem zeitlichen) Aufwand. Mit entsprechenden Serviceverträgen, wie auch wir diese anbieten, kann schnell auf solche Updates reagiert werden. Das ist vor allem immer dann sinnvoll (und wichtig), wenn eine Vielzahl von Plugins und AddOns verwendet werden. Der zeitliche Faktor ist immens wichtig, denn eine übernommene Website kostet mehr (Geld, Reputation).

Lesen Sie auch  Messenger-Marketing - der direkte Kontakt zum Kunden

 

Ist nur das CMS von solchen Problemen betroffen?

Prinzipiell ist der KERN des Content Managementsystems noch die sicherste Komponente. Je nachdem, wie viele AddOns, Plugins oder spezielle Themes installiert sind, können vermehrt weitere Sicherheitslücken auftreten. Daher ist es ratsam, nicht jedes Theme zu verwenden, sondern sich ein professionell genutztes Theme entweder programmieren zu lassen (kleinere Verbreitungsmenge, kleinere Angriffsfläche) oder aber auf professionell erstellte Frameworks zurück zu greifen, die den Vorteil bieten, dass solche Angriffsflächen schnell (durch den Anbieter) repariert sind und zur Verfügung gestellt werden.

Für Dauersparer eher schwierig… denn plötzlich kostet Website Geld… und Sicherheit ist nicht umsonst.

 

Bitte reagieren Sie schnell und dringend auf die Updates. Auch ein Update der Theme-Hersteller, die bereits per E-Mail ihre Kunden informieren, ist wichtig.