Cross-Site-Scripting: Risiko für Millionen WordPress Blogs

WordPress Zahlreiche Blogs und Webseiten, die auf dem CMS WordPress basieren sind derzeit von einer Sicherheitslücke bedroht. Seit 2009 ist das sogenannte Cross-Site-Scripting das größte Problem in Sachen Sicherheit bei WordPress. Hacker könnten durch manipulierte Kommentare einfach auf die Installation zugreifen und diese übernehmen. Weltweit sollen dem Risiko noch viele Millionen Blogs ausgesetzt sein.

Kritische Sicherheitslücke: Großteil aller WordPress-Blogs ist betroffen

Insgesamt sollen von dem Risiko eines Zugriffs via Cross-Site-Scripting mehr als 85 Prozent der WordPress Blogs in aller Welt betroffen sein. Aufgedeckt wurde die Sicherheitslücke von dem Finnen Jouko Pynnonen. Der Sicherheitsexperte entdeckte das schwerwiegende Leck, mit dem es Hackern oder Angreifern möglich ist, über die Kommentarfunktion der Blogs schadhafte Javascript-Codes einzubringen. Ruft der Administrator eines so manipulierten Blogs diesen Kommentar auf – zum Beispiel, weil dieser freigeschaltet werden soll – lässt sich der Code durch entsprechende Administrator-Rechte ausführen. Die Erstellung eines neuen Admin-Accounts durch den Angreifer wäre somit ein echtes Kinderspiel. Auch könnte das Passwort des bisherigen Admins geändert werden. Nutzt der Hacker eine Ajax-Anfrage kann so auch ein Zugriff auf das Betriebssystem des Servers erfolgen.

Die WordPress Versionen 3.0 bis 3.9.2 sind von der Sicherheitslücke betroffen. Dies bedeutet, dass derzeit noch rund 85 Prozent der betriebenen WordPress Blogs ins Visier von Angreifern fallen könnten. So viele Blogs laufen laut Angaben von WordPress.org derzeit noch auf den veralteten CMS-Versionen. Nutzt man als Blogger eine dieser Versionen sollte man dringen die aktuellste Version – WordPress 4.0.1 – installieren. In dieser Version ist das Sicherheitsleck bereits geschlossen worden. Auch weitere Sicherheitslücken aus vergangenen Versionen wurden in der Version 4.0.1 geschlossen. Cross-Site-Scripting lässt sich auf diese Weise nahezu ausschließen.

WordPress-Sicherheitslücke Cross-Site-Scripting: Risiko für Millionen WordPress Blogs

Übrigens: Aktiviert wird der schädliche Code erst, wenn der Kommentar freigeschaltet wird. Möglich wird dies durch eine Formatierungsfunktion mit der Bezeichnung wptexturize. Durch diese Funktion werden zum Beispiel Sonderzeichen automatisch in darstellbare Zeichen ausgetauscht. Pynnonen empfiehlt den Nutzern von WordPress, diese Funktion zu deaktivieren. Möglich ist dies in der Datei formatting.php, die man unter /wp-includes/ in der eigenen WordPress Installation finden kann. Das Update auf die neue Version ist allerdings noch eine effektivere Empfehlung.

Risiko auch für Nutzer des Plugins WP-Statistics

Auch das Plugin WP-Statistics ist von dem Problem mit XSS betroffen. Marc-Alexandre Montpas, Sicherheitsexperte, warnt, dass auch über dieses Plugin ein neuer Account mit Admin-Rechten angelegt werden könnte. Die Versionen bis zur Version 8.3 des beliebten Plugins für WordPress sind von der Sicherheitspanne betroffen. Es gibt inzwischen schon eine neue Version. Die Version 8.3.1 von WP-Statistics bietet eine entsprechende Lösung und schließt das Leck. Weiterhin will der Entwickler des Plugins in den nächsten Wochen eine Auflistung technischer Details zur Sicherheitslücke öffentlich machen. Bis dahin sollten Nutzer des Plugins ihre WordPress Blogs genauer im Blick behalten und das Plugin auf jeden Fall auf den neuesten Stand bringen. Nur so kann man Cross-Site-Scripting effektiv vermeiden.



Kommentare

Du hast eine Frage oder eine Meinung zum Artikel? Teile sie mit uns!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*
*