Sicherheitsleck bei Wordpress-Plug-ins

Erst kürzlich haben die Entwickler von Wordpress einige Hintertüren in der populären Blogging-Software geschlossen. Nun weist der Sicherheitsdienstleister Checkmarx auf eine Reihe neuer Schwachstellen in Wordpress hin. Die als kritisch bewerteten Sicherheitslücken betreffen allerdings nicht die Kern-Software von Wordpress, sondern Plug-ins, die von vielen Nutzern zur Funktionserweiterung eingesetzt werden. Mehrere Millionen Plug-in-Nutzer sollen betroffen sein.

Checkmarx hat die Sicherheit der 50 derzeit populärsten Plug-ins für Wordpress untersucht und das Ergebnis in einem Bericht (PDF-Datei) veröffentlicht. Bei insgesamt 18 Erweiterungsmodulen wurden Sicherheitslecks gefunden, durch die Dritte Angriffsmöglichkeiten auf die betreffenden Wordpress-Installationen haben und diese kompromittieren können. Die betroffenen Websites seien für Hacker ein leichtes Ziel, denn die unsicheren Plug-ins sollen sich bereits durch gängige Angriffsverfahren wie Cross-Site Scripting und SQL-Injection knacken lassen.

Ist eine Wordpress-Website über ein Plug-in einmal gehackt, lassen sich gespeicherte Daten stehlen, Informationen manipulieren oder die Webseite zur Verteilung von Malware präparieren. Welche Plug-ins konkret betroffen sind, verrät die Studie allerdings nicht. Die Namen der Module sind im Report geschwärzt.

Wordpress kommt derzeit nicht aus den Negativschlagzeilen heraus, auch wenn die Wordpress-Entwickler in diesem Fall gar nicht für die Sicherheitslücken verantwortlich sind.