Eine verbreitete Sicherheitslücke in WordPress Plugins & Themes

Unbedingt Plugins updaten! Cross-Site-Scripting – Eine weit verbreitete Sicherheitslücke in populären WordPress Plugins und Themes

WordPress bietet viele Möglichkeiten der Erweiterungen. Nahezu unendliche Plugins können WordPress ein immer neues Gesicht verpassen. Leider hat diese Flexibilität auch eine Kehrseite: Es gibt immer wieder Schwachstellen im Code. Dieses Mal ist das Thema XSS betroffen.

Wer ein Premium-Theme nutzt, sollte unbedingt prüfen, ob es ein Update gibt. Wer ein kostenloses Theme nutzt, wird hier meist leider nur “hoffen” können. Vor allem sind aber Plugins betroffen. Das Gute ist – Premium oder nicht: Plugins werden in der Regel zuverlässig geupdatet. Dies betrifft vor allem die “großen” Plugins, von denen hier ebenfalls mehrere betroffen sind

Darum geht´s

Viele WordPress Plugins sind anfällig für Cross-Site-Scripting (XSS), denn leider werden oft die Funktionen

add_query_arg () und remove_query_arg ()

falsch benutzt. Der Grund dafür ist, dass die offizielle WordPress Dokumentation (Codex) für diese Funktionen nicht klar definiert waren und so viele Plugin-Entwickler die Codes in unsicherer Weise genutzt haben. Es wurden derzeit die 400 wichtigsten Plugins geprüft (vielen Dank an Daniel Cid von sucurl.net) und folgende Plugins sind betroffen:

Jetpack
Wordpress SEO
Google Analytics durch Yoast
All In One SEO
Gravity Forms
Mehrere Plugins von Easy Digital Downloads
UpdraftPlus
WP-E-Commerce
WPtouch
Downloadmonitor
Related Posts für WordPress
MyCalendar
P3 Profiler
Geben
Mehrere iThemes Produkte einschließlich Builder and Exchange
Broken-Link-Checker
Ninja Forms
Simple Ads Manager

Diese Plugins sollten unbedingt geupdated werden. In Anbetracht der tausenden Plugins, die es für WordPress gibt, ist dies leider nur die Spitze des Eisbergs.

Wenn Tür und Tor offenstehen.

Die Sicherheitslücke wurde zuerst in der vergangenen Woche festgestellt (von Yoast). Das Besondere ist, dass so viele Plugins betroffen sind. In Rekordzeit haben alle beteiligten Entwickler der Top 300 Plugins ein WordPress Core Security-Team gebildet. Es ist also davon auszugehen, dass die meisten Plugins binnen der nächsten Tage geupdated werden (oder bereits geupdated wurden).

yoast-secupdate

An die Entwickler: Dieser Weckruf ist auch ein guter Anlass, alle Bugs und Fehler, die unweigerlich zu Sicherheitslücken führen, in Plugins, Themes, Webserver, CMS zu überprüfen. Auch wenn jeder Entwickler Fehler minimieren und sichere Codierungsgrundsätze einsetzen möchte, werden Sicherheitslücken unweigerlich entstehen. Unsere Aufgabe ist daher, Wege zu finden, die Schwachstellen zu minimieren. Weitere Informationen, wie man das Problem beheben kann, findet ihr auf yoast.com

Was soll ich tun?

Da es keine einfache Möglichkeit gibt, global alle Plugins oder Themes zu überprüfen, ist der beste Rat, regelmäßig nach Updates für alle installierten WordPress-Themes und Plugins zu suchen. Schaue also regelmäßig in deinen WordPress-Admin-Bereich und prüfe alle Plugins und Themes auf Updates.

Hier sind einige Tipps und Tricks, die das allgemeine Bedrohungsrisiko minimieren und die Sicherheit der WordPress-Installation verbessern:

  • Patch. Halte die Themes und Plugins aktualisiert
  • Restriktive Zugangskontrolle. Schränke den Zugriff auf das wp-admin-Verzeichnis ein, z.B. mit einer White-List von IP-Adressen. Gebe nur denen einen Admin-Zugriff, die diesen wirklich brauchen.
  • Überwachen. Überwache die Daten auf deinem Server. Werden Dateien verändert, kann man sich per E-Mail benachrichten lassen und prüfen, ob hier ein Hacker am Werk war.
  • Reduzieren. Verwende nur Plugins (oder Themen), die du wirklich brauchst. Lösche alle Plugins und Themes, die du nicht benötigst. Ein einfaches Deaktivieren reicht für einen Schutz nicht aus. Hinweis: Die neuen DI-Themes kommen ohne Plugins aus. Nutze diesen Vorteil und versuche nicht 1001 unnötige Funktionen durch Plugins hinzuzufügen.

Diese Grundsätze bieten schon einmal einen ganz guten Schutz. Leider halten sich die wenigsten Website-Betreiber an diese einfachen Regeln.

Ich hoffe, dass obige Ideen ein wenig dazu beitragen, deine WordPress-Seiten sicherer zu machen. Wenn einen noch wirksameren Schutz anstrebt, sollte einen Blick auf meinen Workshop “WordPress. Aber sicher.” werfen:

Workshop: WordPress. Aber sicher.

Deine Meinung ist gefragt!

Hat dir der Artikel gefallen? Oder fehlt etwas?
Hinterlasse mir gern einen Kommentar!
Ein WordPress Backup Plugin? Kostenlos?

Ein WordPress Backup Plugin? Kostenlos?

Willkommen zum zweiten Teil meiner kleinen Serie ein “WordPress Backup erstellen”. Im ersten Teil haben wir ein manuelles Backup erstellt. Heute automatisieren wir den Prozess und ich zeige dir kostenlose Plugins wie UpdraftPlus, WPVivid, BackWPup, xCloner – und ich erkäre dir den Unterschied zu den kostenpflichtigen Premium-Versionen.

Neuer Theme Builder ab Divi 4

Neuer Theme Builder ab Divi 4

Unendliche Möglichkeiten dank des Theme Builders Divi 4. Mit dem Theme Builder könnt ihr jetzt komplette Seiten-Templates erstellen, z.B. für den Blog, die 404-Seite oder für Archiv- oder Suchergebnisse. Dabei könnt ihr global einen Kopf-, Inhalts-, und Fußbereich...

|

Platz für deinen Kommentar!

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Neue Themes

Neu: Scroll-Effekte, WooCommerce-Module u.v.m.

Galerie

Mehr verkaufen

Workshops, Academy, Magazin, Masterclass

Starten

Geschenkt

Handbuch WordPress,
 Workshop SEO & Marketing

Download

Pin It on Pinterest

Share This