WordPress Sicherheitslücken

400.000 Websites durch Plugin-Schwachstellen gefährdet

Von in IT-Sicherheit
21
Jan
'20

Gleich drei WordPress Sicherheitslücken innerhalb beliebter Plugins gefährden aktuell rund 400.000 Websites. Betreiber, die die an sich praktischen Erweiterungen des Content Managements Systems nicht schnellstmöglich aktualisieren, riskieren unter anderem, dass sich Unbefugte Zugriff verschaffen.

Welche WordPress Plugins von den Sicherheitslücken betroffen sind und welche Gefahren im Detail drohen, verraten wir jetzt.

wordpress sicherheitslücken

WordPress Sicherheitslücken gefährden auch die allgemeine IT-Sicherheit.
Bild: Pixabay/StockSnap

WordPress – das meist eingesetzte freie CMS der Welt

Das freie Content Management System (CMS) WordPress existiert seit dem Jahr 2003 und ist das erfolgreichste System seiner Art. Weltweit nutzen über 50 Prozent aller Webseiten, die auf einem CMS bestehen, WordPress. Schaut man sich den Anteil aller Webseiten an, sind es beachtliche 32 Prozent.

Unter der Haube so ziemlich jeder WordPress-Installation sorgen Plugins (Erweiterungen) für mehr Funktionen, Individualisierungsmöglichkeiten oder eine vereinfachte Verwaltung. Aber gerade diese praktischen Plugins von externen Entwicklern oder Drittanbietern stellen ein nur schwer zu kalkulierendes Risiko dar. Und das zeigt jetzt auch der aktuelle Fall.

Drei WordPress Sicherheitslücken entdeckt

Konkret geht es um die Plugins InfiniteWP, WP Database Reset und WP Time Capsule. Vor allem ersteres erfreut sich großer Beliebtheit, weil es die zentrale Verwaltung aller WordPress-Installationen ermöglicht. Sollte Ihr Unternehmen mehrere Websites betreiben oder Ihre Website wurde von einer externen Agentur entwickelt, ist die Wahrscheinlichkeit relativ hoch, dass InfiniteWP im Einsatz ist.

Laut den Sicherheitsexperten, die die Schwachstellen aufgedeckt haben, genügt im Falle dieses Plugins bereits die reine Kenntnis über den Account-Namen, um sich Zugang zum Nutzeraccount zu verschaffen. Ein Update auf die Version 1.9.4.5 ist also alternativlos und sollte schnellstmöglich durchgeführt werden.

wordpress sicherheitseinstellungen

„Safety first“ gilt auch für WordPress-Installationen.
Bild: Pixabay/pixelcreatures

Unbefugter Admin-Zugang durch WP-Sicherheitslücken in Plugins

Auch die anderen beiden WordPress Sicherheitslücken (auch: WordPress-Sicherheitslücken) haben es in sich. Die Schwachstelle in der Erweiterung WP Time Capsule, die zur einfachen Erstellung von Backups eingesetzt wird, erlaubt es, dass sich Unbefugte ohne weitere Authentifizierung als Admin anmelden können. Der Entwickler des Plugins reagierte zum Glück prompt, als er von der Lücke erfuhr und stellte bereits am nächsten Tag ein entsprechendes Update zur Verfügung.

Zu guter Letzt kommt das Plugin WP Database Reset, das Schätzungen folge bei etwa 80.000 WordPress-Installationen im Einsatz ist. Gleich zwei Schwachstellen innerhalb der Anwendung ermöglichen wahlweise das Zurücksetzen der Datenbank auf die Set-up-Werte oder den Erhalt von Admin-Rechten. Das Upgrade sollte hier auf die Version 3.15 durchgeführt werden.

Fehlendes Patch-Management stellt Risiko dar

Das Problem in vielen (kleineren) Unternehmen ist häufig, dass sich niemand um die „Überwachung“ von Anwendungen kümmert. Ob WordPress-Erweiterung, Anti-Virus-Software oder Buchhaltungsprogramm: So ziemlich jede Anwendung birgt auch immer ein gewisses Risiko. Sicherheitslücken und kleine Schwachstellen werden erst entdeckt, wenn Security-Experten einzelne Programme genau unter die Lupe nehmen oder (Worst-case-Szenario) Hacker die Lücken bereits entdeckt und ausgenutzt haben.

Es ist daher enorm wichtig, dass das Thema Patch-Management in jedem Unternehmen auf der Agenda steht. Beim Patch-Management sorgen die Verantwortlichen dafür, dass jede Anwendung aktualisiert wird, sobald ein Update oder ein Sicherheitspatch verfügbar ist. Dadurch lässt sich das Risiko, Opfer einer Hacker-Attacke zu werden, massiv minimieren. Wer hingegen die Durchführung sicherheitsrelevanter Aktualisierungen schleifen lässt, darf sich im Zweifel nicht wundern.

Wenn Sie auf der Suche nach Unterstützung in diesem Bereich sind, wenden Sie sich gerne an einen unserer Experten aus dem IT-SERVICE.NETWORK. Gerne informieren wir Sie über Patch-Management für Ihr Unternehmen im Rahmen unseres Dienstleistungsangebots. Wir freuen uns auf Ihre Anfrage.

Lena Klaus

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.