WP File Manager

Sicherheitslücke in WordPress Plug-in entdeckt

Von in Aktuelles
10
Sep
'20

Das Plug-in WP File Manager ist schätzungsweise bei mehr als 700.000 WordPress-Webseiten im Einsatz. Jetzt haben finnische Sicherheitsforscher eine gravierende Sicherheitslücke in der Software entdeckt, die bereits von Cyberkriminellen ausgenutzt worden ist.

Wir erklären, welche Risiken die Schwachstelle birgt und wie Sie Ihr Unternehmen vor entsprechenden Angriffen schützen.

WP File-Manager

WordPress ist eines der beliebtesten Webseiten-Systeme. Bild: Pixabay/simplu27

WP File Manager – beliebtes Plug-in bei WordPress-Installationen

Ohne jeden Zweifel ist WordPress eines der beliebtesten Webseiten-Systeme auf der Welt. Das freie und kostenlose Content-Management-System, das bereits im Jahr 2003 das Licht des World Wide Web erblickte, ist die Basis für mehr als 30 Prozent aller Webseiten. Mitunter ist die einfache Nutzung und Implementierung von Plug-ins verantwortlich für den enormen Erfolg. Kurz zur Erklärung: Bei Plug-ins handelt es sich um einzelne Software-Programme, die die Funktionalität von bestehenden Installationen erweitern.

Plug-ins gibt es nahezu für alles – allein in der WordPress-Bibliothek stehen mehr als 50.000 Exemplare zum Download zur Verfügung. Mit ihrer Hilfe lässt sich beispielsweise ein Online-Shop realisieren, eine Webseite in andere Sprachen übersetzen oder auch kontrollieren, ob der Content auf den Seiten für Suchmaschinen optimiert ist.

Der WP File Manager ermöglicht das Bearbeiten, Hochladen, Herunterladen, Kopieren, Einfügen und Löschen von Ordnern und Dateien direkt aus dem WordPress-Backend. Eine durchaus smarte Lösung für das WordPress-Dateimanagement, die sich daher bei Webmastern und Admins auch großer Beliebtheit erfreut.

Sicherheitslücke in WordPress-Plug-in

Immer wieder entdecken IT-Security-Spezialisten allerdings Sicherheitslücken in WordPress-Plug-ins, so auch nun im WP File Manager. Durch ein kleines Schlupfloch ist es Hackern und Cyberkriminellen möglich, Dateien ihrer Wahl hochzuladen, zu verändern oder gar die gesamte Webseite zu kapern. Der finnische Sicherheitsanbieter Seravo, der praktischerweise auf WordPress spezialisiert ist, hat jetzt herausgefunden, dass die Sicherheitslücke auch schon aktiv ausgenutzt worden ist. Aber: Wie hoch die Zahl der Opfer ist und um wen es sich konkret handelt, ist nicht bekannt.

Und wie konnte es zu der Sicherheitslücke kommen? Scheinbar haben die Entwickler aus Versehen eine Datei, die zum Open-Source-Projekt elFinder gehört, zum Testen von Funktionen von .php.dist in .php umbenannt und in die Version eingefügt. Durch diesen Fauxpas konnte seitdem ein willkürlicher User direkt auf die Datei zugreifen und beliebige Befehle an die WordPress-Bibliothek ausführen. Weitere technische Details dazu sind in einem entsprechenden Blog-Beitrag nachzulesen.

windows wurm

Zu einem Update gibt es nur eine Alternative: das Plug-in löschen. Bild: Pixabay / Tumisu

WP File Manager aktualisieren

Die Entwickler des beliebten Plug-ins reagierten glücklicherweise sofort und haben bereits ein  Update veröffentlicht, das die Sicherheitslücke schließt. Ist das Plug-in WP File Manager in Ihrem WordPress installiert, sollten Sie es schleunigst auf die aktuelle Version 6.9 updaten. In diesem Zusammenhang wichtig: Das Deaktivieren des Plug-ins reicht nicht aus! Die einzige Alternative zum Update stellt die vollständige Deinstallation dar.

Einmal mehr zeigt dieses Beispiel, wie wichtig eine aktive Update-Strategie und ein zuverlässiges Patch-Management sind. Unternehmen sollten sicherstellen, dass sämtliche Programme, Systeme, Plug-ins und Add-ons regelmäßig auf neue (und damit sicherere) Versionen überprüft werden. Gerade innerhalb bestehender WordPress-Installationen liegt hier aber häufig der Hase im Pfeffer.

Denn: Im laufenden Geschäft sind oft „nur“ Redakteure oder Content-Mitarbeiter im Backend unterwegs. Diese können/dürfen Updates häufig nicht durchführen oder haben Angst, etwas kaputt zu machen. Wenn es sich bei den Entwicklern der Website dann noch um eine externe Agentur oder einen Freelancer handelt, für die das Projekt mit Live-Gang der Seite abgeschlossen war, ist niemand mehr für die laufende Pflege verantwortlich.

Patch-Management für alle Anwendungen und Programme

Sie haben keine eigene IT-Abteilung oder sind vielmehr ratlos, wer bei all den Installationen den Überblick behalten soll? Dann haben Sie dennoch keinen Grund zur Verzweiflung. Wenden Sie sich doch einfach an unsere Experten aus dem IT-SERVICE.NETWORK. Denn: Im Rahmen unseres Dienstleistungsangebots für Unternehmen bieten wir Ihnen ein sicheres Patch-Management zum monatlichen Festpreis an.

Unser Experte in Ihrer Nähe wird dadurch zu Ihrem ganz persönlichen Update-Manager in Fleisch und Blut. Sie selbst können sich währenddessen auf die wesentlichen Aufgaben konzentrieren, um Ihren Geschäftserfolg zu sichern. Mit dieser Aufgabenverteilung erfüllen wir voll und ganz den Grundsatz: Jeder macht das, was er am besten kann. In unserem Fall ist das die IT.

Patch-Management

Mit der automatischen Durchführung von Updates sorgen wir für die Sicherheit Ihrer IT-Systeme. Sie wollen mehr wissen?

Lena Klaus

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.