IT-Sicherheit

WordPress Sicherheitslücken

400.000 Websites durch Plugin-Schwachstellen gefährdet

von 21.01.2020
wordpress sicherheitslücken
Wordpress Sicherheitslücken gefährden auch die allgemeine IT-Sicherheit Bild: StockSnap/Pixabay

Gleich drei WordPress Sicherheitslücken innerhalb beliebter Plugins gefährden aktuell rund 400.000 Websites. Betreiber, die die an sich praktischen Erweiterungen des Content Managements Systems nicht schnellstmöglich aktualisieren, riskieren unter anderem, dass sich Unbefugte Zugriff verschaffen.
Welche WordPress Plugins von den Sicherheitslücken betroffen sind und welche Gefahren im Detail drohen, verraten wir jetzt.

wordpress sicherheitslücken

WordPress Sicherheitslücken gefährden auch die allgemeine IT-Sicherheit.
Bild: Pixabay/StockSnap

WordPress – das meist eingesetzte freie CMS der Welt

Das freie Content Management System (CMS) WordPress existiert seit dem Jahr 2003 und ist das erfolgreichste System seiner Art. Weltweit nutzen über 50 Prozent aller Webseiten, die auf einem CMS bestehen, WordPress. Schaut man sich den Anteil aller Webseiten an, sind es beachtliche 32 Prozent.
Unter der Haube so ziemlich jeder WordPress-Installation sorgen Plugins (Erweiterungen) für mehr Funktionen, Individualisierungsmöglichkeiten oder eine vereinfachte Verwaltung. Aber gerade diese praktischen Plugins von externen Entwicklern oder Drittanbietern stellen ein nur schwer zu kalkulierendes Risiko dar. Und das zeigt jetzt auch der aktuelle Fall.

Drei WordPress Sicherheitslücken entdeckt

Konkret geht es um die Plugins InfiniteWP, WP Database Reset und WP Time Capsule. Vor allem ersteres erfreut sich großer Beliebtheit, weil es die zentrale Verwaltung aller WordPress-Installationen ermöglicht. Sollte Ihr Unternehmen mehrere Websites betreiben oder Ihre Website wurde von einer externen Agentur entwickelt, ist die Wahrscheinlichkeit relativ hoch, dass InfiniteWP im Einsatz ist.
Laut den Sicherheitsexperten, die die Schwachstellen aufgedeckt haben, genügt im Falle dieses Plugins bereits die reine Kenntnis über den Account-Namen, um sich Zugang zum Nutzeraccount zu verschaffen. Ein Update auf die Version 1.9.4.5 ist also alternativlos und sollte schnellstmöglich durchgeführt werden.

wordpress sicherheitseinstellungen

„Safety first“ gilt auch für WordPress-Installationen.
Bild: Pixabay/pixelcreatures

Unbefugter Admin-Zugang durch WP-Sicherheitslücken in Plugins

Auch die anderen beiden WordPress Sicherheitslücken (auch: WordPress-Sicherheitslücken) haben es in sich. Die Schwachstelle in der Erweiterung WP Time Capsule, die zur einfachen Erstellung von Backups eingesetzt wird, erlaubt es, dass sich Unbefugte ohne weitere Authentifizierung als Admin anmelden können. Der Entwickler des Plugins reagierte zum Glück prompt, als er von der Lücke erfuhr und stellte bereits am nächsten Tag ein entsprechendes Update zur Verfügung.
Zu guter Letzt kommt das Plugin WP Database Reset, das Schätzungen folge bei etwa 80.000 WordPress-Installationen im Einsatz ist. Gleich zwei Schwachstellen innerhalb der Anwendung ermöglichen wahlweise das Zurücksetzen der Datenbank auf die Set-up-Werte oder den Erhalt von Admin-Rechten. Das Upgrade sollte hier auf die Version 3.15 durchgeführt werden.

Fehlendes Patch-Management stellt Risiko dar

Das Problem in vielen (kleineren) Unternehmen ist häufig, dass sich niemand um die „Überwachung“ von Anwendungen kümmert. Ob WordPress-Erweiterung, Antivirus-Software oder Buchhaltungsprogramm: So ziemlich jede Anwendung birgt auch immer ein gewisses Risiko. Sicherheitslücken und kleine Schwachstellen werden erst entdeckt, wenn Security-Experten einzelne Programme genau unter die Lupe nehmen oder (Worst-case-Szenario) Hacker die Lücken bereits entdeckt und ausgenutzt haben.
Es ist daher enorm wichtig, dass das Thema Patch-Management in jedem Unternehmen auf der Agenda steht. Beim Patch-Management sorgen die Verantwortlichen dafür, dass jede Anwendung aktualisiert wird, sobald ein Update oder ein Sicherheitspatch verfügbar ist. Dadurch lässt sich das Risiko, Opfer einer Hacker-Attacke zu werden, massiv minimieren. Wer hingegen die Durchführung sicherheitsrelevanter Aktualisierungen schleifen lässt, darf sich im Zweifel nicht wundern.
Wenn Sie auf der Suche nach Unterstützung in diesem Bereich sind, wenden Sie sich gerne an einen unserer Experten aus dem IT-SERVICE.NETWORK. Gerne informieren wir Sie über Patch-Management für Ihr Unternehmen im Rahmen unseres Dienstleistungsangebots. Wir freuen uns auf Ihre Anfrage.

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen