WordPress in Gefahr – cyon-Kunden sicher

← zurück zum Blog

Zur Zeit sorgt wieder eine Sicherheitslücke für Schlagzeilen, die Millionen von WordPress-Installationen für eine mögliche feindliche Übernahme öffnet.

Das Wichtigste vorweg: Unsere in diesem Jahr eingeführte Web Application Firewall (WAF) spielt ihre Stärke voll aus und schliesst diese Lücke für alle cyon-Kunden bereits serverseitig.

Wir verteidigen Ihr WordPress vor der aktuellen Sicherheitslücke.

Wir verteidigen Ihr WordPress vor der aktuellen Sicherheitslücke. Bildquelle.

Dennoch ist es wie immer ratsam, seine Installation aktuell zu halten und auf die inzwischen erschienene Version 4.2.2 von WordPress zu aktualisieren.

Lücke im Default-Theme Twenty Fifteen

Die gefundene XSS-Lücke findet sich im mitgelieferten Theme Twenty Fifteen, was praktisch jede Installation von WordPress verwundbar macht – auch wenn ein anderes Theme aktiv ist.

Die Lücke tritt auch an anderen Stellen auf, z.B. im beliebten Plugin Jetpack.

Bei der Sicherheitsfirma Sucuri, den Entdeckern der Lücke, finden sich weitere technische Hintergründe. Deutsche Quellen sind beispielsweise heise online oder Golem.de.

5 Kommentare

  1. Ist denn die Lücke im Theme Twenty Fifteen der aktuellen Version 4.2.2 nicht mehr vorhanden oder ist das nur ein allgemeiner Rat, die installierte Version aktuell zu halten ?

    • Für das Theme steht ein separates Update zur Verfügung, WordPress 4.2.2 prüft aber gemäss Release-Notes die Installation ebenfalls und entfernt die Datei, wenn sie vorhanden ist. Sowohl WordPress als auch das Theme sollten in jedem Fall aktualisiert werden.

  2. Oder alternativ, wenn man das Theme nicht benutzt, kann dieses auch entfernt werden. Es kann dann allerdings passieren, dass bei der nächsten Version dieses Theme wieder installiert wird. Aber als Workaround, wenn so ein Fehler bekannt wird aber noch nicht korrigiert wurde funktioniert das ganz gut.

    Aber grundsätzlich ist es wohl eine gute Strategie, die Installation immer auf dem aktuellen Stand zu halten.

  3. Einmal eine Frage

    Beispiel WordPress
    Schliesst Ihr nur die Sicherheitslücken von WordPress Installationen die vom Scriptcenter installiert wurden, oder auch die von hand installiert worden sind?

    Danke Euch zum voraus
    Daniel

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog