Millionen Webseiten, die auf dem Content Management System WordPress basieren, sollten dringend aktualisiert werden. Anthony Ferrara entdeckte eine ernsthafte Sicherheitslücke in dem beliebten CMS.

Im folgenden Kommentar fasst Ferrara die Situation zusammen:

“Mit dem WordPress Update 4.8.3 wurde eine gefährliche SQL-Injection Sicherheitslücke geschlossen. Lesen Sie nicht weiter, bevor Sie nicht Ihre WordPress Installation aktualisiert haben.“

Ironischerweise sollte schon das WordPress Sicherheitsupdate 4.8.2 im letzten Monat vor der Sicherheitslücke schützen. Nach Ferrara griff die Aktualisierung im Kern aber nicht und einige Webseiten konnten gleich gar nicht mehr besucht werden.

Ferrara sagte, dass er das WordPress Team unmittelbar nach dem 4.8.2 Update über die Missstände informierte. Allerdings wurde er für mehrere Wochen ignoriert.

Laut Ferrara sei das Sicherheitsproblem mit dem neuen 4.8.3 WordPress Update nun glücklicherweise behoben, allerdings lässt sich in seinem Blogbeitrag ganz deutlich die Frustration über das WordPress Sicherheitsteam erkennen:

“Meldungen über Sicherheitsprobleme sollten umgehend behandelt werden, wobei nicht immer jede Sekunde zählt (meistens). Ich verstehe, dass es konkurrierende Prioritäten gibt. Aber Vorsicht. Wenn jemand etwas nicht versteht, sollte um Verdeutlichung der Sachlage geboten werden.“

“Insgesamt hoffe ich, dass das WordPress Sicherheitsteam daraus lernen wird – Ich bin zuversichtlich.“

Die neuste WordPress Version (momentan 4.8.3) kann von der offiziellen WordPress Downloadseite heruntergeladen werden. Wer bereits WordPress benutzt, navigiert vom Dashboard der Admin-Konsole aus zu Aktualisierungen und klickt dort auf den entsprechenden Button zum Update auf die neuste Version.

Einige WordPress-Installationen haben sich bereits automatisch aktualisiert. Allerdings eignet sich die automatische Update-Funktion nicht für alle. Viele Administratoren in Unternehmen stehen neuen Softwareversionen skeptisch gegenüber und möchten sie erst einmal testen, um spätere Probleme mit der Webseite zu verhindern.

Die traurige Wahrheit ist allerdings, dass viele Webseiten im Internet auf noch älteren WordPress Versionen basieren. Deswegen ist die nun entdeckte und mit der Version 4.8.3 geschlossene Sicherheitslücke nicht die einzige, die viele ältere WordPress-Installationen betreffen dürfte.

Das Betreiben einer gut funktionierenden WordPress Webseite kann mit beträchtlichen Aufwand verbunden sein. Besonders die Aktualisierung der WordPress Version und der Drittanbieter-Plugins sind unter Umständen sehr zeitaufwendig. Sie müssen ordnungsgemäß funktionieren, um Cyberangriffe abzuwehren.

Die Wahrscheinlichkeit für Hackerangriffe kann verringert werden, indem eine Firewall eingerichtet wird. Diese filtert und blockiert bösartigen Web-Traffic, bevor eine Schwachstelle ausgenutzt werden kann.

Webseiten mit selbst gehosteten Webseiten mit WordPress Versionen von wordpress.org unterscheiden sich von den Millionen Blogs, welche auf wordpress.com laufen. Letztere Domain wird von Automattic verwaltet. Dieser Anbieter kümmert sich auch um die WordPress Installationen der Blogger und deren Cybersecurity.

Obwohl die Webseiten-Betreiber auf wordpress.com einigen Einschränkungen gegenüberstehen, können sie immer sicher sein, mit der neuesten WordPress-Installation versorgt zu werden.