Webseiten absichern

Kritische WordPress-Lücke erfordert Update

von - 15.02.2017
WordPress
Foto: WordPress
Hacker können bei den WordPress-Versionen 4.7 und 4.7.1 über eine Hintertür ganze Webseiten übernehmen. Sicherheitsforscher raten deshalb dringend zum Update.
Sicherheitsforscher von Sucuri warnen in einem Blog-Beitrag vor den WordPress-Versionen 4.7 und 4.7.1. Eine gravierende Sicherheitslücke ermögliche es Angreifern, Webseiten zu verunstalten und Schadcode auszuführen. Die Forscher raten deshalb Betreibern und Nutzern, die keine automatischen Updates erhalten oder noch keine manuelle Installation vorgenommen haben, dringend, die abgesicherte Version 4.7.2 zu installieren.

Plug-Ins vergrößern Sicherheitsleck

Die Forscher lokalisierten die Sicherheitslücke in der WordPress-REST-API. Seit der Version 4.7 ist diese im beliebten Open-Source-CMS standardmäßig aktiviert. Wie die Kollegen von heise.de berichten, haben die WordPress-Entwickler bei der Validierung von Eingaben geschlampt, weshalb sich der Inhalt einzelner Posts oder ganzer Seiten nun ganz einfach ändern lsse. Sind zudem die Plug-Ins Insert-PHP und Exec-PHP installiert, ist das Sicherheitsleck noch größer. Angreifer können dadurch eine Hintertür platzieren und erhalten volle Kontrolle über eine Webseite.
In einem weiteren Blog-Beitrag empfehlen die Forscher von Sucuri deshalb generell, diese beiden Plug-Ins zu deaktivieren und automatische Updates zu aktivieren.