Eine verbreitete Sicherheitslücke in WordPress Plugins & Themes

Unbedingt Plugins updaten! Cross-Site-Scripting – Eine weit verbreitete Sicherheitslücke in populären WordPress Plugins und Themes

WordPress bietet viele Möglichkeiten der Erweiterungen. Nahezu unendliche Plugins können WordPress ein immer neues Gesicht verpassen. Leider hat diese Flexibilität auch eine Kehrseite: Es gibt immer wieder Schwachstellen im Code. Dieses Mal ist das Thema XSS betroffen.

Wer ein Premium-Theme nutzt, sollte unbedingt prüfen, ob es ein Update gibt. Wer ein kostenloses Theme nutzt, wird hier meist leider nur “hoffen” können. Vor allem sind aber Plugins betroffen. Das Gute ist – Premium oder nicht: Plugins werden in der Regel zuverlässig geupdatet. Dies betrifft vor allem die “großen” Plugins, von denen hier ebenfalls mehrere betroffen sind

Darum geht´s

Viele WordPress Plugins sind anfällig für Cross-Site-Scripting (XSS), denn leider werden oft die Funktionen

add_query_arg () und remove_query_arg ()

falsch benutzt. Der Grund dafür ist, dass die offizielle WordPress Dokumentation (Codex) für diese Funktionen nicht klar definiert waren und so viele Plugin-Entwickler die Codes in unsicherer Weise genutzt haben. Es wurden derzeit die 400 wichtigsten Plugins geprüft (vielen Dank an Daniel Cid von sucurl.net) und folgende Plugins sind betroffen:

Jetpack
Wordpress SEO
Google Analytics durch Yoast
All In One SEO
Gravity Forms
Mehrere Plugins von Easy Digital Downloads
UpdraftPlus
WP-E-Commerce
WPtouch
Downloadmonitor
Related Posts für WordPress
MyCalendar
P3 Profiler
Geben
Mehrere iThemes Produkte einschließlich Builder and Exchange
Broken-Link-Checker
Ninja Forms
Simple Ads Manager

Diese Plugins sollten unbedingt geupdated werden. In Anbetracht der tausenden Plugins, die es für WordPress gibt, ist dies leider nur die Spitze des Eisbergs.

Wenn Tür und Tor offenstehen.

Die Sicherheitslücke wurde zuerst in der vergangenen Woche festgestellt (von Yoast). Das Besondere ist, dass so viele Plugins betroffen sind. In Rekordzeit haben alle beteiligten Entwickler der Top 300 Plugins ein WordPress Core Security-Team gebildet. Es ist also davon auszugehen, dass die meisten Plugins binnen der nächsten Tage geupdated werden (oder bereits geupdated wurden).

yoast-secupdate

An die Entwickler: Dieser Weckruf ist auch ein guter Anlass, alle Bugs und Fehler, die unweigerlich zu Sicherheitslücken führen, in Plugins, Themes, Webserver, CMS zu überprüfen. Auch wenn jeder Entwickler Fehler minimieren und sichere Codierungsgrundsätze einsetzen möchte, werden Sicherheitslücken unweigerlich entstehen. Unsere Aufgabe ist daher, Wege zu finden, die Schwachstellen zu minimieren. Weitere Informationen, wie man das Problem beheben kann, findet ihr auf yoast.com

Was soll ich tun?

Da es keine einfache Möglichkeit gibt, global alle Plugins oder Themes zu überprüfen, ist der beste Rat, regelmäßig nach Updates für alle installierten WordPress-Themes und Plugins zu suchen. Schaue also regelmäßig in deinen WordPress-Admin-Bereich und prüfe alle Plugins und Themes auf Updates.

Hier sind einige Tipps und Tricks, die das allgemeine Bedrohungsrisiko minimieren und die Sicherheit der WordPress-Installation verbessern:

  • Patch. Halte die Themes und Plugins aktualisiert
  • Restriktive Zugangskontrolle. Schränke den Zugriff auf das wp-admin-Verzeichnis ein, z.B. mit einer White-List von IP-Adressen. Gebe nur denen einen Admin-Zugriff, die diesen wirklich brauchen.
  • Überwachen. Überwache die Daten auf deinem Server. Werden Dateien verändert, kann man sich per E-Mail benachrichten lassen und prüfen, ob hier ein Hacker am Werk war.
  • Reduzieren. Verwende nur Plugins (oder Themen), die du wirklich brauchst. Lösche alle Plugins und Themes, die du nicht benötigst. Ein einfaches Deaktivieren reicht für einen Schutz nicht aus. Hinweis: Die neuen DI-Themes kommen ohne Plugins aus. Nutze diesen Vorteil und versuche nicht 1001 unnötige Funktionen durch Plugins hinzuzufügen.

Diese Grundsätze bieten schon einmal einen ganz guten Schutz. Leider halten sich die wenigsten Website-Betreiber an diese einfachen Regeln.

Ich hoffe, dass obige Ideen ein wenig dazu beitragen, deine WordPress-Seiten sicherer zu machen. Wenn einen noch wirksameren Schutz anstrebt, sollte einen Blick auf meinen Workshop “WordPress. Aber sicher.” werfen:

Workshop: WordPress. Aber sicher.

Deine Meinung ist gefragt!

Hat dir der Artikel gefallen? Oder fehlt etwas?
Hinterlasse mir gern einen Kommentar!
Business-Fotoshooting: Mach dir ein Bild!

Business-Fotoshooting: Mach dir ein Bild!

Wie wichtig ein gutes Foto, ist wohl eigentlich jedem klar. Und doch ist es ein typischer (Anfänger-)Fehler, der uns im Laufe der Jahre immer wieder begegnet: Dass schlechte Fotos genutzt werden – oder gar keine. Uns sind auch schon Websites untergekommen, die...

Wie kann man Instagram-Follower generieren?

Wie kann man Instagram-Follower generieren?

Instagram ist ein recht junger Dienst im Netz, schnell wachsend und vor allem bei jungen Usern beliebt. Da Instagram zu facebook gehört, ist klar, dass der Dienst durch Werbung finanziert wir. Die Werbemaßnahmen werden als Fotos oder Videos umgesetzt und platziert....

Blogger werden: Dein Blog als Nebenjob?

Blogger werden: Dein Blog als Nebenjob?

Kann man mit einem Blog Geld verdienen? Na klar, das geht. Allerdings nicht ohne Arbeit. Der Vorteil ist aber, dass du mit dem Thema, das dir am Herzen liegst, Geld verdienen kannst. Und da mach Arbeit doch gleich doppelt Spaß ...  Wie du erfolgreich Blogger werden...

10 häufige Webdesign Fehler!

10 häufige Webdesign Fehler!

Was sind die häufigsten Webdesign Fehler? Webdesign ist komplex. Du musst dich um mobile Zugänglichkeit, Designästhetik, Benutzerfreundlichkeit, SEO und vieles mehr kümmern. Vermeide diese 10 Fehler, die leicht sehr teuer werden könnten.

|

Platz für deinen Kommentar!

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Neue Themes

Neu: Scroll-Effekte, WooCommerce-Module u.v.m.

Galerie

Mehr verkaufen

Workshops, Academy, Magazin, Masterclass

Starten

Geschenkt

Handbuch WordPress,
 Workshop SEO & Marketing

Download