WordPress-Auto-Update als Sicherheitsrisiko

Heute noch eine kurze Sicherheitsinformation, die mir als Betreiber einer WordPress-Installation vom Sicherheitsanbieter WordFence zugegangen ist. Der WordPress-Server hatte eine Sicherheitslücke, die WordPress-Installation gefährdete.


Anzeige

Die Sicherheitslücke im WordPress.org-Server wurde kürzlich von WordFence entdeckt und im Beitrag Hacking 27% of the Web via WordPress Auto-Update beschrieben. Über die WordPress.org-Server werden nicht nur die Updates für den Core (die WordPress-Installation) sondern aus Theme-Dateien und Plugins für WordPress-Installationen aktualisiert.


(Quelle: WordFence)

Durch eine Sicherheitslücke wäre es Angreifern möglich gewesen, auf das WordPress-Auto-Update-System zuzugreifen und Malware auf Webseiten automatisiert auszurollen. Denn das Auto-Update wurde von WordPress in irgend einer der letzten Versionen eingeführt (ich habe es abgeschaltet). Dadurch wäre es einem Angreifer möglich geweisen, bis zu 27 % des gesamten Webs mit einem einzelnen Hack zu kompromittieren.

WordFence hat das Problem an das WordPress Team weiter gegeben, die die Lücke binnen weniger Stunden behoben hat. Im verlinkten Blog-Beitrag hat das WordFence-Team nun die Sicherheitslücke dokumentiert. Nachtrag: Bei heise.de gibt es einen deutschsprachigen Artikel zum Thema.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit Sicherheit, WordPress verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu WordPress-Auto-Update als Sicherheitsrisiko

  1. Tim sagt:

    "Denn das Auto-Update wurde von WordPress in irgend einer der letzten Versionen eingeführt (ich habe es abgeschaltet)"

    …jaaa, schon nicht schlecht, dann und wann, wenn man Updates auch abschalten kann…

    Oder?

Schreibe einen Kommentar zu Tim Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.