Kritisches WordPress Update
am von in Hosting Blog
Die WordPress-Entwickler haben im jüngsten Versions-Update 4.7.2 eine kritische Sicherheitslücke geschlossen die zuvor allem Anschein nach hinsichtlich ihres Gefahrenpotentials absichtlich heruntergespielt wurde. Grund für dieses Vorgehen war laut einiger Medienberichte der Plan, den Anwendern mehr Zeit für das Patch-Vorgang zu geben. Leidtragende sind allerdings all jene, welche die automatisch Update-Funktion deaktiviert haben.
Angreifer konnten unbemerkt Schadcode platzieren
Durch die veröffentlichte Version 4.7.2 haben die Entwickler des CMS eine Sicherheitslücke geschlossen, welche es Angreifern erlaubt hat, unbemerkt Schadcode auf einer beliebigen Seite einzuschleusen. Allerdings hat das Security-Team die tatsächliche Gefahr um ein Vielfaches heruntergespielt und das tatsächliche Ausmass des klaffenden Lecks geheim gehalten. Alle Anwender, die nach wie vor auf der Vorgänger-Version ihre Arbeit verrichten, sollten schnell handeln. Andernfalls drohen empfindliche Schäden in Form von gelöschten Seiten oder ähnlichem.
Sicherheitslücke befindet sich in REST API
Die Sicherheitslücke befindet sich in der erst kürzlich eingeführten REST API. Diese API ist standardmässig aktiviert und kann selbst durch Administratoren des CMS nicht mehr ausgeschaltet werden. Eine unsaubere Programmierung im Rahmen des Validierung scheint der Grund für das entstandene Sicherheitsleck in den Versionen 4.7 sowie 4.7.1 zu sein. Es genügen bereits simple JSON-Anfragen, um WordPress-Seiten zu manipulieren.
Hosting: Leidtragende vor allem Anwender ohne Auto-Update
Wer die Auto-Update-Funktion für das CMS nicht aktiviert hat, geht ein besonders hohes Risiko ein. Alle Hosting-Pakete bei webkeeper enthalten eine automatische Update-Funktion, welche im Control Panel aktiviert werden kann, sodass Sie durch jeden neuen Patch innerhalb kürzester Zeit den aktuellsten Versionsstand besitzen. Allen anderen empfehlen wir vor diesem Hintergrund, das Update auf die aktuelle Version 4.7.2 unverzüglich durchzuführen, um die derzeit bestehende Gefahr sofort aus der Welt zu schaffen.
Die Funktion kann im Control Panel über die WordPress Extension aktiviert werden.
