WordPress in Gefahr – cyon-Kunden sicher

David Burkardt
Autor:

David Burkardt

Kategorie:

in

CMS & Co.

Veröffentlicht am 8. Mai 2015

Aktualisiert am 9. Mai 2022

Zur Zeit sorgt wieder eine Sicherheitslücke für Schlagzeilen, die Millionen von WordPress-Installationen für eine mögliche feindliche Übernahme öffnet.

Das Wichtigste vorweg: Unsere in diesem Jahr eingeführte Web Application Firewall (WAF) spielt ihre Stärke voll aus und schliesst diese Lücke für alle cyon-Kunden bereits serverseitig.

Wir verteidigen Ihr WordPress vor der aktuellen Sicherheitslücke.

Wir verteidigen Ihr WordPress vor der aktuellen Sicherheitslücke. Bildquelle.

Dennoch ist es wie immer ratsam, seine Installation aktuell zu halten und auf die inzwischen erschienene Version 4.2.2 von WordPress zu aktualisieren.

Lücke im Default-Theme Twenty Fifteen

Die gefundene XSS-Lücke findet sich im mitgelieferten Theme Twenty Fifteen, was praktisch jede Installation von WordPress verwundbar macht – auch wenn ein anderes Theme aktiv ist.

Die Lücke tritt auch an anderen Stellen auf, z.B. im beliebten Plugin Jetpack.

Bei der Sicherheitsfirma Sucuri, den Entdeckern der Lücke, finden sich weitere technische Hintergründe. Deutsche Quellen sind beispielsweise heise online oder Golem.de.

Beteilige dich an der Diskussion

5 Kommentare

Daniel
Daniel 13. Mai 2015 20:19

Einmal eine Frage

Beispiel WordPress
Schliesst Ihr nur die Sicherheitslücken von WordPress Installationen die vom Scriptcenter installiert wurden, oder auch die von hand installiert worden sind?

Danke Euch zum voraus
Daniel

Philipp Zeder
Philipp Zeder cyon
14. Mai 2015 13:54

Sicherheitslücken werden auch bei manuellen Installationen geschlossen.

Rolf Wilhelm
Rolf Wilhelm 12. Mai 2015 08:29

Oder alternativ, wenn man das Theme nicht benutzt, kann dieses auch entfernt werden. Es kann dann allerdings passieren, dass bei der nächsten Version dieses Theme wieder installiert wird. Aber als Workaround, wenn so ein Fehler bekannt wird aber noch nicht korrigiert wurde funktioniert das ganz gut.

Aber grundsätzlich ist es wohl eine gute Strategie, die Installation immer auf dem aktuellen Stand zu halten.

Thomas Hertli
Thomas Hertli 9. Mai 2015 08:38

Ist denn die Lücke im Theme Twenty Fifteen der aktuellen Version 4.2.2 nicht mehr vorhanden oder ist das nur ein allgemeiner Rat, die installierte Version aktuell zu halten ?

Philipp Zeder
Philipp Zeder cyon
9. Mai 2015 09:24

Für das Theme steht ein separates Update zur Verfügung, WordPress 4.2.2 prüft aber gemäss Release-Notes die Installation ebenfalls und entfernt die Datei, wenn sie vorhanden ist. Sowohl WordPress als auch das Theme sollten in jedem Fall aktualisiert werden.