Fehler im Standard-Theme Wordpress stopft gefährliche Sicherheitslücke
Wordpress-Logo: Anfällige Datei standardmäßig installiert
Wer seine Website mit dem Redaktionssystem Wordpress betreibt, der sollte dringend das aktuelle Update installieren. Die Entwickler haben am Donnerstag die Version 4.2.2 ins Netz gestellt , um eine kritische Sicherheitslücke zu schließen. Damit soll verhindert werden, dass Angreifer die Website kapern und vollständig kontrollieren können.
Das Sicherheitsunternehmen Sucuri hatte die Softwarelücke entdeckt und am Mittwoch in einem Blogbeitrag vor den Folgen eines Angriffs gewarnt . Die Schwachstelle steckt demnach in einer Datei namens "example.html", die bisher in einem Ordner des Wordpress-Themes Twenty Fifteen abgelegt worden ist. Das Theme wird bei allen frischen Wordpress-Installationen automatisch mitgeliefert. Auch das Plugin JetPack ist offenbar betroffen, das unter anderem Abrufzahlen der Website anzeigt. Laut Sucuri haben mehr als eine Million Wordpress-Nutzer die Erweiterung installiert.
Sowohl das Theme Twenty Fifteen als auch das Plugin JetPack greifen auf das Genericons-Paket zu, das dem Nutzer kleine Icons zur Verfügung stellt, um beispielsweise den Kontakt-Knopf einer Website mit einem Brief zu bebildern. Laut Sucuri können Angreifer die Sicherheitslücke unter anderem dafür ausnutzen, um Schadcode unbemerkt an einen Wordpress-Administrator zu übermitteln. Ist dieser Administrator während der Attacke im Content-Management-System angemeldet, kann der Angreifer die Kontrolle über die Wordpress-Installation erlangen.
Dabei ist die Beispiel-Datei eigentlich völlig unnötig, da sie laut dem Sucuri-Sicherheitsexperten David Dede nur für Tests der Entwickler gebraucht wird - und vor der Veröffentlichung gelöscht werden sollte. Dede kritisiert die Wordpress-Programmierer für diese Leichtfertigkeit: "Dieses dumme Versehen könnte verheerende Auswirkungen auf ahnungslose Website-Nutzer und Unternehmen haben."
Wer das automatische Update in seinen Wordpress-Einstellungen aktiviert hat, dürfte bereits eine aktuelle Version erhalten haben. Mittlerweile sind wohl auch die Erweiterungen überarbeitet worden. Laut den Entwicklern seien "alle betroffenen Themes und Plugins, die bei Wordpress.org bereitgestellt werden (samt dem Twenty Fifteen Standard-Theme) aktualisiert worden".
