Sicherheitslücken in WordPress entdeckt – Genauer gesagt wurden gleich in drei beliebten WordPress Plugins gravierende Sicherheitslücken entdeckt. Rund 400.000 Websites sind derzeit betroffen. Betreiber von Webseiten, die die an sich praktischen Erweiterungen des Content Managements Systems nicht schnellstmöglich aktualisieren, riskieren unter anderem, dass sich Unbefugte Zugriff verschaffen.
WordPress CMS – das weltweit meist genutzte Open Source Content Management System
WordPress hat sich seit dem Start im Jahre 2003 zu einem des am häufigsten genutzten Content Management Systems weltweit entwickelt. Rund 50% aller Webseiten welche auf ein CMS aufbauen wurden mit WordPress erstellt. Der Anteil von WordPress in Bezug auf alle Webseiten weltweit liegt bei der beachtlichen Zahl von ca 32%. Das freie CMS Tool bietet viele Individualisierungsmöglichkeiten sowie einfache Verwaltung und Wartung. Plugins (Erweiterungen) sorgen für weitere Möglichkeiten eine Webseite nach heutigen Standards einfach realisieren zu können. Doch gerade hier ist Vorschicht geboten, denn die oft praktischen Plugins von externen Entwicklern oder Drittanbietern stellen ein nur schwer zu kalkulierendes Risiko dar. Das zeigt auch der aktuelle Fall, bei dem in drei Erweiterungen Sicherheitslücken in WordPress entdeckt wurden.
Sicherheitslücken in WordPress entdeckt
Bei den Sicherheitslücken handelt es sich konkret um die drei Plugins InfiniteWP, WP Database Reset und WP Time Capsule. Vor allem InfiniteWP erfreut sich großer Beliebtheit, weil es eine zentrale Verwaltung aller WordPress-Installationen ermöglicht. Wenn ein Unternehmen mehrere Webseiten betreibt oder Ihre Webseite von einer Agentur entwickelt worden ist, ist die Wahrscheinlichkeit relativ hoch, dass dieses Plugin im Einsatz ist.
Sicherheitsexperten welche die Schwachstelle aufgedeckt haben, zeigen das es bereits genügt Kenntnis über den Account-Namen zu haben um sich Zugang zum Nutzeraccount zu verschaffen. Ein Update welches diese Lücken schließen soll ist bereits veröffentlicht worden.
Unbefugter Admin-Zugang
Auch bei den beiden anderen Plugins wurden Sicherheitslücken entdeckt die es in sich haben. WP Time Capsule wird häufig zur einfachen Erstellung von Backups verwendet. Durch die Schwachstelle ist es Unbefugten Benutzern möglich sich ohne weitere Authentifizierung als Admin anmelden zu können. Auch hier hat der Entwickler sofort reagiert und bereits ein Update des beliebten Plugins veröffentlicht.
Auch bei WP Database Reset ist es möglich über eine Sicherheitslücke sich Admin-Rechte zu verschaffen. Zugleich ermöglicht es Angreifern die Datenbank Zurückzusetzen und mit Set-up-Werten zu befüllen. Schätzungen zufolge ist dieses Plugin auf mehr als 80.000 WordPress Installationen im Einsatz. Auch hier sollte schnellstmöglich ein Update auf die Version 3.15 durchgeführt werden um die Sicherheitslücken zu schließen.
Risiko durch fehlendes Patch-Management
In vielen Unternehmen stellt sich das Problem, dass sich niemand um die “Überwachung” von Anwendungen kümmert. Jede Anwendung kann ein Risiko darstellen, wenn sie nicht auf den aktuellen Stand gebracht bzw. gehalten wird. Das gilt sowohl für Software auf Ihrem “PC” oder “Server” sowie auch für “Web-Anwendungen” und “Content Management Systeme” wie WordPress. Durch ein Patch-Management lässt sich das Risiko, Opfer einer Hacker-Attacke zu werden, massiv minimieren. Sicherheitsexperten nehmen regelmäßig Anwendungen unter die Lupe um Sicherheitslücken aufzuspüren. Sobald Updates für die Anwendungen vorhanden sind um diese Sicherheitslücken zu schließen sollten diese auch durchgeführt werden um das Worst-case-Szenario zu vermeiden.
Mit dem iKomm MSP Secure Webhosting bieten wir Ihnen ein vollständiges Patch-Management Ihrer WordPress-Installation, automatisierte Backups und weitere Sicherheitsfunktionen wie eine WAF – Web Application Firewall an. Kunden der iKomm MSP Hosting Infrastruktur müssen sich keine Sorgen machen, denn wir verwenden keines der oben genannten Plugins für unsere Verwaltungen. Sollte Ihre Webseite von einer Agentur erstellt worden sein, gäbe es prinzipiell die Möglichkeit das dennoch ein betroffenes Plugin installiert ist. Durch unser Patch-Management wurde die Plugins aber bereits aktualisiert, da für alle drei Plugins bereits Updates verfügbar sind. Sollten Sie dennoch Fragen haben, können Sie gerne unsere Technik kontaktieren. Wir freuen uns auf Ihre Anfragen.
Quelle des Beitrags: https://it-service.network/blog/2020/01/21/wordpress-sicherheitsluecken/?utm_source=facebook&utm_medium=social
