Arbeitswelt & Trends

WP File Manager

Sicherheitslücke in WordPress Plug-in entdeckt

von 10.09.2020
WP File-Manager
WordPress ist eines der beliebtesten Webseiten-Systeme. Bild: Pixabay/simplu27

Das Plug-in WP File Manager ist schätzungsweise bei mehr als 700.000 WordPress-Webseiten im Einsatz. Jetzt haben finnische Sicherheitsforscher eine gravierende Sicherheitslücke in der Software entdeckt, die bereits von Cyberkriminellen ausgenutzt worden ist.
Wir erklären, welche Risiken die Schwachstelle birgt und wie Sie Ihr Unternehmen vor entsprechenden Angriffen schützen.

WP File-Manager

WordPress ist eines der beliebtesten Webseiten-Systeme. Bild: Pixabay/simplu27

WP File Manager – beliebtes Plug-in bei WordPress-Installationen

Ohne jeden Zweifel ist WordPress eines der beliebtesten Webseiten-Systeme auf der Welt. Das freie und kostenlose Content-Management-System, das bereits im Jahr 2003 das Licht des World Wide Web erblickte, ist die Basis für mehr als 30 Prozent aller Webseiten. Mitunter ist die einfache Nutzung und Implementierung von Plug-ins verantwortlich für den enormen Erfolg. Kurz zur Erklärung: Bei Plug-ins handelt es sich um einzelne Software-Programme, die die Funktionalität von bestehenden Installationen erweitern.
Plug-ins gibt es nahezu für alles – allein in der WordPress-Bibliothek stehen mehr als 50.000 Exemplare zum Download zur Verfügung. Mit ihrer Hilfe lässt sich beispielsweise ein Online-Shop realisieren, eine Webseite in andere Sprachen übersetzen oder auch kontrollieren, ob der Content auf den Seiten für Suchmaschinen optimiert ist.
Der WP File Manager ermöglicht das Bearbeiten, Hochladen, Herunterladen, Kopieren, Einfügen und Löschen von Ordnern und Dateien direkt aus dem WordPress-Backend. Eine durchaus smarte Lösung für das WordPress-Dateimanagement, die sich daher bei Webmastern und Admins auch großer Beliebtheit erfreut.

Sicherheitslücke in WordPress-Plug-in

Immer wieder entdecken IT-Security-Spezialisten allerdings Sicherheitslücken in WordPress-Plug-ins, so auch nun im WP File Manager. Durch ein kleines Schlupfloch ist es Hackern und Cyberkriminellen möglich, Dateien ihrer Wahl hochzuladen, zu verändern oder gar die gesamte Webseite zu kapern. Der finnische Sicherheitsanbieter Seravo, der praktischerweise auf WordPress spezialisiert ist, hat jetzt herausgefunden, dass die Sicherheitslücke auch schon aktiv ausgenutzt worden ist. Aber: Wie hoch die Zahl der Opfer ist und um wen es sich konkret handelt, ist nicht bekannt.
Und wie konnte es zu der Sicherheitslücke kommen? Scheinbar haben die Entwickler aus Versehen eine Datei, die zum Open-Source-Projekt elFinder gehört, zum Testen von Funktionen von .php.dist in .php umbenannt und in die Version eingefügt. Durch diesen Fauxpas konnte seitdem ein willkürlicher User direkt auf die Datei zugreifen und beliebige Befehle an die WordPress-Bibliothek ausführen. Weitere technische Details dazu sind in einem entsprechenden Blog-Beitrag nachzulesen.

windows wurm

Zu einem Update gibt es nur eine Alternative: das Plug-in löschen. Bild: Pixabay / Tumisu

WP File Manager aktualisieren

Die Entwickler des beliebten Plug-ins reagierten glücklicherweise sofort und haben bereits ein  Update veröffentlicht, das die Sicherheitslücke schließt. Ist das Plug-in WP File Manager in Ihrem WordPress installiert, sollten Sie es schleunigst auf die aktuelle Version 6.9 updaten. In diesem Zusammenhang wichtig: Das Deaktivieren des Plug-ins reicht nicht aus! Die einzige Alternative zum Update stellt die vollständige Deinstallation dar.
Einmal mehr zeigt dieses Beispiel, wie wichtig eine aktive Update-Strategie und ein zuverlässiges Patch-Management sind. Unternehmen sollten sicherstellen, dass sämtliche Programme, Systeme, Plug-ins und Add-ons regelmäßig auf neue (und damit sicherere) Versionen überprüft werden. Gerade innerhalb bestehender WordPress-Installationen liegt hier aber häufig der Hase im Pfeffer.
Denn: Im laufenden Geschäft sind oft „nur“ Redakteure oder Content-Mitarbeiter im Backend unterwegs. Diese können/dürfen Updates häufig nicht durchführen oder haben Angst, etwas kaputt zu machen. Wenn es sich bei den Entwicklern der Website dann noch um eine externe Agentur oder einen Freelancer handelt, für die das Projekt mit Live-Gang der Seite abgeschlossen war, ist niemand mehr für die laufende Pflege verantwortlich.

Patch-Management für alle Anwendungen und Programme

Sie haben keine eigene IT-Abteilung oder sind vielmehr ratlos, wer bei all den Installationen den Überblick behalten soll? Dann haben Sie dennoch keinen Grund zur Verzweiflung. Wenden Sie sich doch einfach an unsere Experten aus dem IT-SERVICE.NETWORK. Denn: Im Rahmen unseres Dienstleistungsangebots für Unternehmen bieten wir Ihnen ein sicheres Patch-Management zum monatlichen Festpreis an.
Unser Experte in Ihrer Nähe wird dadurch zu Ihrem ganz persönlichen Update-Manager in Fleisch und Blut. Sie selbst können sich währenddessen auf die wesentlichen Aufgaben konzentrieren, um Ihren Geschäftserfolg zu sichern. Mit dieser Aufgabenverteilung erfüllen wir voll und ganz den Grundsatz: Jeder macht das, was er am besten kann. In unserem Fall ist das die IT.

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema Arbeitswelt & Trends

Arbeitswelt & Trends

Windows-Zwischenablage

Tipps und Tricks für eine effiziente Nutzung des Zwischenablageverlaufs

von • 20.11.2024

Mit der Windows-Zwischenablage arbeiten Sie effizienter als je zuvor. Der Zwischenablageverlauf ermöglicht den Zugriff auf zuletzt kopierte Inhalte – ideal für den Büroalltag. Wir erklären, w...

Weiterlesen
Arbeitswelt & Trends

Energieeffizienzgesetz

Unternehmen zu mehr Energieeffizienz verpflichtet

von • 28.08.2024

Im September 2023 hat der Bundestag das Energieeffizienzgesetz beschlossen und damit klare Ziele für die Energieeffizienz festgelegt. Das Gesetz definiert unter anderem erstmals Effizienzstandards f...

Weiterlesen
Arbeitswelt & Trends

KI-Texte schreiben lassen

Mit diesen Tipps hören sich generierte Texte menschlicher an

von • 07.08.2024

ChatGPT und Co. verwenden ständig dieselben Formulierungen. Häufig klingen die Ergebnisse gestelzt und verraten ihre Herkunft. Sie fragen sich: Wie kann ich bessere KI-Texte schreiben lassen? Wir...

Weiterlesen