Felix Weinstein
Felix Weinstein
418 0
14.04.2015
  • Entwarnung: Sicherheitslücke in WordPress-Plugin Super Cache behoben

Das WordPress-Plugin WP Super Cache wies eine XSS-Sicherheitslücke auf. Nicht nur einschlägige Fachmedien, nein, sogar das FBI appellierte laut einer Meldung im SPIEGEL, vom 8. April 2015, an die WordPress-Webmaster, dies dringend zu prüfen und ihre Software auf dem aktuellsten Stand zu halten. Die Hintergründe sind politischer Natur. Hacker sind am Werk. Offenbar nutzen Sympathisanten der Terrorgruppe “IS” Schwachstellen von Plugins, um Websites zu manipulieren. Mit der aktuellen Version 1.4.4 haben die WordPress-Entwickler diese Sicherheitslücke behoben. Immerhin haben laut Statistik ca. eine Million Webseiten dieses Plugin installiert und waren somit für die Lücke anfällig.

Version 1.4.4 behebt XSS-Sicherheitslücke

Das beliebte Plugin WP Super Cache ist recht nützlich. Deshalb wird es sehr oft in Webseiten implementiert. Es erstellt statische HTML-Seiten aus PHP-Seiten, die sonst datenaufwändig vom Server geladen werden müssten. Die Serverlast wird so maßgeblich reduziert und der Artikel kann noch schneller aufgerufen werden.

Wie das Sicherheitsportal SucuriBlog veröffentlichte, lauert “im Code des Plugins bis einschließlich Version 1.4.3 eine XSS-Sicherheitslücke, die es einem Angreifer erlaubt, beliebigen Code auszuführen. Erst Version 1.4.4, die seit ein paar Tagen verfügbar ist, behebt diese Schwachstelle. Das zugrunde liegende Problem ist, dass das Plugin an einer Stelle Eingaben eines Nutzers ausgibt, ohne die Daten vorher zu säubern.”

Durch die Sicherheitslücke war es für geübte Hacker leicht, schädliche Skripte in die WordPress-Seiten zu integrieren. Meist ist das eigener JavaScript-Code, der auf der Webseite eingeschleust wird. Angreifer konnten so Daten kopieren oder manipulieren, Cookies auslesen und auf fremde Server übertragen, neue Accounts erstellen oder weitere Software installieren.

Als Agentur mit vielen Jahren WordPress-Erfahrung kümmern wir uns mit größer Sorgfalt um die Sicherheit der Online-Projekte unserer Kunden. Unser Supportteam hält den Webmastern unserer Kunden den Rücken frei, sorgt dafür, dass immer die neuesten Sicherheitsfeatures auf ihrer Site installiert sind, schließt Lücken bei Plugins und macht damit Hackern das Leben richtig schwer. Und das FBI kann sich entspannt zurücklehnen.



Comments are closed.