Fehler im Standard-Theme Wordpress stopft gefährliche Sicherheitslücke

Eine Wordpress-Datei macht Millionen von Websites anfällig für Angreifer. Die Entwickler haben nun ein Update veröffentlicht. Sicherheitsexperten kritisieren Wordpress für die Leichtfertigkeit.

Wordpress-Logo: Anfällige Datei standardmäßig installiert

Wordpress-Logo: Anfällige Datei standardmäßig installiert


Wer seine Website mit dem Redaktionssystem Wordpress betreibt, der sollte dringend das aktuelle Update installieren. Die Entwickler haben am Donnerstag die Version 4.2.2 ins Netz gestellt, um eine kritische Sicherheitslücke zu schließen. Damit soll verhindert werden, dass Angreifer die Website kapern und vollständig kontrollieren können.

Das Sicherheitsunternehmen Sucuri hatte die Softwarelücke entdeckt und am Mittwoch in einem Blogbeitrag vor den Folgen eines Angriffs gewarnt. Die Schwachstelle steckt demnach in einer Datei namens "example.html", die bisher in einem Ordner des Wordpress-Themes Twenty Fifteen abgelegt worden ist. Das Theme wird bei allen frischen Wordpress-Installationen automatisch mitgeliefert. Auch das Plugin JetPack ist offenbar betroffen, das unter anderem Abrufzahlen der Website anzeigt. Laut Sucuri haben mehr als eine Million Wordpress-Nutzer die Erweiterung installiert.

Sowohl das Theme Twenty Fifteen als auch das Plugin JetPack greifen auf das Genericons-Paket zu, das dem Nutzer kleine Icons zur Verfügung stellt, um beispielsweise den Kontakt-Knopf einer Website mit einem Brief zu bebildern. Laut Sucuri können Angreifer die Sicherheitslücke unter anderem dafür ausnutzen, um Schadcode unbemerkt an einen Wordpress-Administrator zu übermitteln. Ist dieser Administrator während der Attacke im Content-Management-System angemeldet, kann der Angreifer die Kontrolle über die Wordpress-Installation erlangen.

Dabei ist die Beispiel-Datei eigentlich völlig unnötig, da sie laut dem Sucuri-Sicherheitsexperten David Dede nur für Tests der Entwickler gebraucht wird - und vor der Veröffentlichung gelöscht werden sollte. Dede kritisiert die Wordpress-Programmierer für diese Leichtfertigkeit: "Dieses dumme Versehen könnte verheerende Auswirkungen auf ahnungslose Website-Nutzer und Unternehmen haben."

Wer das automatische Update in seinen Wordpress-Einstellungen aktiviert hat, dürfte bereits eine aktuelle Version erhalten haben. Mittlerweile sind wohl auch die Erweiterungen überarbeitet worden. Laut den Entwicklern seien "alle betroffenen Themes und Plugins, die bei Wordpress.org bereitgestellt werden (samt dem Twenty Fifteen Standard-Theme) aktualisiert worden".

jbr



Forum - Diskutieren Sie über diesen Artikel
insgesamt 4 Beiträge
Alle Kommentare öffnen
Seite 1
youseeus 08.05.2015
1. korrekte version
Wohl ein Zahlendreher: WordPress 4.2.2 wurde veröffentlicht, nicht 4.4.2
JörgBreithut 08.05.2015
2. Version
Zitat von youseeusWohl ein Zahlendreher: WordPress 4.2.2 wurde veröffentlicht, nicht 4.4.2
Das stimmt, danke für den Hinweis! Wir haben das korrigiert.
Granata 08.05.2015
3. Falsche versionsnummer
Die aktuelle version ist 4.2.2 (nicht 4.4.2)
nk222 08.05.2015
4. ja stopfen sie noch
oder beheben sie schon? Ich kann dieses unsägliche "Stopfen" von Sicherheitslücken nicht mehr sehen! Das klingt immer so (und soll wohl auch so klingen) als ob der jeweilige Anbieter in aller Eile irgendwelche Sandsäcke vor irgendwelche imaginären Löcher karrt. Wie wäre es zur Abwechslung mal mit einem "behebt Fehler" oder von mir aus auch "schließt Sicherheitslücke"? Das klingt weniger nach blindem Aktionismus und mehr nach professioneller Softwareentwicklung.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.