Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Fehler im Standard-Theme: Wordpress stopft gefährliche Sicherheitslücke

Wordpress-Logo: Anfällige Datei standardmäßig installiert Zur Großansicht

Wordpress-Logo: Anfällige Datei standardmäßig installiert

Eine Wordpress-Datei macht Millionen von Websites anfällig für Angreifer. Die Entwickler haben nun ein Update veröffentlicht. Sicherheitsexperten kritisieren Wordpress für die Leichtfertigkeit.

Wer seine Website mit dem Redaktionssystem Wordpress betreibt, der sollte dringend das aktuelle Update installieren. Die Entwickler haben am Donnerstag die Version 4.2.2 ins Netz gestellt, um eine kritische Sicherheitslücke zu schließen. Damit soll verhindert werden, dass Angreifer die Website kapern und vollständig kontrollieren können.

Das Sicherheitsunternehmen Sucuri hatte die Softwarelücke entdeckt und am Mittwoch in einem Blogbeitrag vor den Folgen eines Angriffs gewarnt. Die Schwachstelle steckt demnach in einer Datei namens "example.html", die bisher in einem Ordner des Wordpress-Themes Twenty Fifteen abgelegt worden ist. Das Theme wird bei allen frischen Wordpress-Installationen automatisch mitgeliefert. Auch das Plugin JetPack ist offenbar betroffen, das unter anderem Abrufzahlen der Website anzeigt. Laut Sucuri haben mehr als eine Million Wordpress-Nutzer die Erweiterung installiert.

Sowohl das Theme Twenty Fifteen als auch das Plugin JetPack greifen auf das Genericons-Paket zu, das dem Nutzer kleine Icons zur Verfügung stellt, um beispielsweise den Kontakt-Knopf einer Website mit einem Brief zu bebildern. Laut Sucuri können Angreifer die Sicherheitslücke unter anderem dafür ausnutzen, um Schadcode unbemerkt an einen Wordpress-Administrator zu übermitteln. Ist dieser Administrator während der Attacke im Content-Management-System angemeldet, kann der Angreifer die Kontrolle über die Wordpress-Installation erlangen.

Dabei ist die Beispiel-Datei eigentlich völlig unnötig, da sie laut dem Sucuri-Sicherheitsexperten David Dede nur für Tests der Entwickler gebraucht wird - und vor der Veröffentlichung gelöscht werden sollte. Dede kritisiert die Wordpress-Programmierer für diese Leichtfertigkeit: "Dieses dumme Versehen könnte verheerende Auswirkungen auf ahnungslose Website-Nutzer und Unternehmen haben."

Wer das automatische Update in seinen Wordpress-Einstellungen aktiviert hat, dürfte bereits eine aktuelle Version erhalten haben. Mittlerweile sind wohl auch die Erweiterungen überarbeitet worden. Laut den Entwicklern seien "alle betroffenen Themes und Plugins, die bei Wordpress.org bereitgestellt werden (samt dem Twenty Fifteen Standard-Theme) aktualisiert worden".

jbr

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 4 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. korrekte version
youseeus 08.05.2015
Wohl ein Zahlendreher: WordPress 4.2.2 wurde veröffentlicht, nicht 4.4.2
2. Version
JörgBreithut 08.05.2015
Zitat von youseeusWohl ein Zahlendreher: WordPress 4.2.2 wurde veröffentlicht, nicht 4.4.2
Das stimmt, danke für den Hinweis! Wir haben das korrigiert.
3. Falsche versionsnummer
Granata 08.05.2015
Die aktuelle version ist 4.2.2 (nicht 4.4.2)
4. ja stopfen sie noch
nk222 08.05.2015
oder beheben sie schon? Ich kann dieses unsägliche "Stopfen" von Sicherheitslücken nicht mehr sehen! Das klingt immer so (und soll wohl auch so klingen) als ob der jeweilige Anbieter in aller Eile irgendwelche Sandsäcke vor irgendwelche imaginären Löcher karrt. Wie wäre es zur Abwechslung mal mit einem "behebt Fehler" oder von mir aus auch "schließt Sicherheitslücke"? Das klingt weniger nach blindem Aktionismus und mehr nach professioneller Softwareentwicklung.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Zum Autor
  • Jörg Breithut sucht von Stuttgart aus nach Themen im Internet. Und schreibt sie dort auch wieder rein.

  • Blog von Jörg Breithut

Anzeige


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: