Eine verbreitete Sicherheitslücke in WordPress Plugins & Themes

Inhaltsverzeichnis Anzeigen

Unbedingt Plugins updaten! Cross-Site-Scripting – Eine weit verbreitete Sicherheitslücke in populären WordPress Plugins und Themes

WordPress bietet viele Möglichkeiten der Erweiterungen. Nahezu unendliche Plugins können WordPress ein immer neues Gesicht verpassen. Leider hat diese Flexibilität auch eine Kehrseite: Es gibt immer wieder Schwachstellen im Code. Dieses Mal ist das Thema XSS betroffen.

Wer ein Premium-Theme nutzt, sollte unbedingt prüfen, ob es ein Update gibt. Wer ein kostenloses Theme nutzt, wird hier meist leider nur „hoffen“ können. Vor allem sind aber Plugins betroffen. Das Gute ist – Premium oder nicht: Plugins werden in der Regel zuverlässig geupdatet. Dies betrifft vor allem die „großen“ Plugins, von denen hier ebenfalls mehrere betroffen sind

Darum geht´s

Viele WordPress Plugins sind anfällig für Cross-Site-Scripting (XSS), denn leider werden oft die Funktionen

add_query_arg () und remove_query_arg ()

falsch benutzt. Der Grund dafür ist, dass die offizielle WordPress Dokumentation (Codex) für diese Funktionen nicht klar definiert waren und so viele Plugin-Entwickler die Codes in unsicherer Weise genutzt haben. Es wurden derzeit die 400 wichtigsten Plugins geprüft (vielen Dank an Daniel Cid von sucurl.net) und folgende Plugins sind betroffen:

Jetpack
Wordpress SEO
Google Analytics durch Yoast
All In One SEO
Gravity Forms
Mehrere Plugins von Easy Digital Downloads
UpdraftPlus
WP-E-Commerce
WPtouch
Downloadmonitor
Related Posts für WordPress
MyCalendar
P3 Profiler
Geben
Mehrere iThemes Produkte einschließlich Builder and Exchange
Broken-Link-Checker
Ninja Forms
Simple Ads Manager

Diese Plugins sollten unbedingt geupdated werden. In Anbetracht der tausenden Plugins, die es für WordPress gibt, ist dies leider nur die Spitze des Eisbergs.

Wenn Tür und Tor offenstehen.

Die Sicherheitslücke wurde zuerst in der vergangenen Woche festgestellt (von Yoast). Das Besondere ist, dass so viele Plugins betroffen sind. In Rekordzeit haben alle beteiligten Entwickler der Top 300 Plugins ein WordPress Core Security-Team gebildet. Es ist also davon auszugehen, dass die meisten Plugins binnen der nächsten Tage geupdated werden (oder bereits geupdated wurden).

yoast-secupdate

An die Entwickler: Dieser Weckruf ist auch ein guter Anlass, alle Bugs und Fehler, die unweigerlich zu Sicherheitslücken führen, in Plugins, Themes, Webserver, CMS zu überprüfen. Auch wenn jeder Entwickler Fehler minimieren und sichere Codierungsgrundsätze einsetzen möchte, werden Sicherheitslücken unweigerlich entstehen. Unsere Aufgabe ist daher, Wege zu finden, die Schwachstellen zu minimieren. Weitere Informationen, wie man das Problem beheben kann, findet ihr auf yoast.com

Was soll ich tun?

Da es keine einfache Möglichkeit gibt, global alle Plugins oder Themes zu überprüfen, ist der beste Rat, regelmäßig nach Updates für alle installierten WordPress-Themes und Plugins zu suchen. Schaue also regelmäßig in deinen WordPress-Admin-Bereich und prüfe alle Plugins und Themes auf Updates.

Hier sind einige Tipps und Tricks, die das allgemeine Bedrohungsrisiko minimieren und die Sicherheit der WordPress-Installation verbessern:

  • Patch. Halte die Themes und Plugins aktualisiert
  • Restriktive Zugangskontrolle. Schränke den Zugriff auf das wp-admin-Verzeichnis ein, z.B. mit einer White-List von IP-Adressen. Gebe nur denen einen Admin-Zugriff, die diesen wirklich brauchen.
  • Überwachen. Überwache die Daten auf deinem Server. Werden Dateien verändert, kann man sich per E-Mail benachrichten lassen und prüfen, ob hier ein Hacker am Werk war.
  • Reduzieren. Verwende nur Plugins (oder Themen), die du wirklich brauchst. Lösche alle Plugins und Themes, die du nicht benötigst. Ein einfaches Deaktivieren reicht für einen Schutz nicht aus. Hinweis: Die neuen DI-Themes kommen ohne Plugins aus. Nutze diesen Vorteil und versuche nicht 1001 unnötige Funktionen durch Plugins hinzuzufügen.

Diese Grundsätze bieten schon einmal einen ganz guten Schutz. Leider halten sich die wenigsten Website-Betreiber an diese einfachen Regeln.

Ich hoffe, dass obige Ideen ein wenig dazu beitragen, deine WordPress-Seiten sicherer zu machen. Wenn einen noch wirksameren Schutz anstrebt, sollte einen Blick auf meinen Workshop „WordPress. Aber sicher.“ werfen:

Workshop: WordPress. Aber sicher.

Tool-Tipp:

Folgende Apps nutze ich in meinem Blog. Zu den meisten dieser Apps findest du auf meinem YouTube-Kanal oder direkt hier eine ausführliche Review.

Keyword-Strategie: WriterZen, LongTailPro, Link Assistant
Content-Erstellung: Frase, StoryChief, Bramework, NeuronWriter
Optimierung Pagespeed: WP Rocket, ShortPixel
Optimierung Conversion: Convertbox
Sicherheit: WPVivid

Du suchst nach einer Lösung für dein Marketing, deiner SEO- oder Content-Strategie? Dann schau auch gern in meiner Akademie vorbei: Businesserfolg.de

Deine Meinung ist gefragt!

Hat dir der Artikel gefallen? Oder fehlt etwas?
Hinterlasse mir gern einen Kommentar!

Kommentar schreiben

Platz für deinen Kommentar!

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Neue Themes

Neu: Scroll-Effekte, WooCommerce-Module u.v.m.

Galerie

Blogthemen

Neu

WordPress

Divi

Marketing

SEO

Reviews

Workshops

Workshops, Academy, Magazin, Masterclass

Starten

Geschenkt

Handbuch WordPress,
Workshop SEO & Marketing

Download

Überblick

Galerie

Features

Preise