WordPress in Gefahr – cyon-Kunden sicher
David Burkardt
Kategorie:in
CMS & Co.
Veröffentlicht am 8. Mai 2015
Aktualisiert am 9. Mai 2022
Zur Zeit sorgt wieder eine Sicherheitslücke für Schlagzeilen, die Millionen von WordPress-Installationen für eine mögliche feindliche Übernahme öffnet.
Das Wichtigste vorweg: Unsere in diesem Jahr eingeführte Web Application Firewall (WAF) spielt ihre Stärke voll aus und schliesst diese Lücke für alle cyon-Kunden bereits serverseitig.
Dennoch ist es wie immer ratsam, seine Installation aktuell zu halten und auf die inzwischen erschienene Version 4.2.2 von WordPress zu aktualisieren.
Lücke im Default-Theme Twenty Fifteen
Die gefundene XSS-Lücke findet sich im mitgelieferten Theme Twenty Fifteen, was praktisch jede Installation von WordPress verwundbar macht – auch wenn ein anderes Theme aktiv ist.
Die Lücke tritt auch an anderen Stellen auf, z.B. im beliebten Plugin Jetpack.
Bei der Sicherheitsfirma Sucuri, den Entdeckern der Lücke, finden sich weitere technische Hintergründe. Deutsche Quellen sind beispielsweise heise online oder Golem.de.
Beteilige dich an der Diskussion
5 Kommentare
Sicherheitslücken werden auch bei manuellen Installationen geschlossen.
Oder alternativ, wenn man das Theme nicht benutzt, kann dieses auch entfernt werden. Es kann dann allerdings passieren, dass bei der nächsten Version dieses Theme wieder installiert wird. Aber als Workaround, wenn so ein Fehler bekannt wird aber noch nicht korrigiert wurde funktioniert das ganz gut.
Aber grundsätzlich ist es wohl eine gute Strategie, die Installation immer auf dem aktuellen Stand zu halten.
Ist denn die Lücke im Theme Twenty Fifteen der aktuellen Version 4.2.2 nicht mehr vorhanden oder ist das nur ein allgemeiner Rat, die installierte Version aktuell zu halten ?
Für das Theme steht ein separates Update zur Verfügung, WordPress 4.2.2 prüft aber gemäss Release-Notes die Installation ebenfalls und entfernt die Datei, wenn sie vorhanden ist. Sowohl WordPress als auch das Theme sollten in jedem Fall aktualisiert werden.
Einmal eine Frage
Beispiel WordPress
Schliesst Ihr nur die Sicherheitslücken von WordPress Installationen die vom Scriptcenter installiert wurden, oder auch die von hand installiert worden sind?
Danke Euch zum voraus
Daniel