WordPress bietet zahlreiche Plugins mit denen die Webseite erweitert werden kann. Einige von ihnen weisen erhebliche Sicherheitslücken auf. Derzeit ist die XSS Sicherheitslücke ein Thema.
XSS steht für Cross-Site-Scripting. Hierbei werden webseitenübergreifend Sicherheitslücken ausgenutzt, indem nicht vertrauenswürdige Inhalte in einen Kontext eingefügt werden, der als vertrauenswürdig gilt. Angreifbar sind viele WordPress Plugins, weil im Code add_query_arg() und remove_query_arg()Funktionen missbraucht werden können.
Die XSS Sicherheitslücke erlaubt es Angreifern, einen eigenen Code auf einer Webseite einzubinden, der interessante Informationen ausliest und diese auf fremde Server weiterleitet. So kann der Angreifer bspw. an Login Daten oder andere sensible Informationen kommen. Die potentielle Gefährdung variiert, da die Funktionen unterschiedlich genutzt wurden. Nicht immer muss die Gefahr hoch sein, sie birgt aber ein Risiko was auf jeden Fall behoben werden sollte.
Welche WordPress Plugins sind betroffen?
Betroffen von der XSS Sicherheitslücke sind/waren bisher folgende WordPress Plugins:
- All in One SEO
- Broken-Link-Checker
- Download Monitor
- Give
- Gravity Forms
- Jetpack
- Google Analytics by Yoast
- Multiple Plugins von Easy Digital Plugins
- Multiple iThemes products including Builder and Exchange
- My Calender
- Ninja Forms
- UpdraftPlus
- P3 Profiler
- Related Posts for WordPress
- WP-E-Commerce
- WPTouch
- WordPress SEO
Die meisten Anbieter haben bereits reagiert und bieten Sicherheits-Updates an. Man vermutet aber, dass noch weitere WordPress Plugins betroffen sind.
Was tun gegen Sicherheitslücken in WordPress Plugins?
Zahlreiche Anbieter haben bereits reagiert und die Sicherheitslücke geschlossen. Daher ist es wichtig, die angebotenen Sicherheits-Updates sofort zu machen. Prüfen Sie daher die Aktualität der WordPress Plugins oder ziehen Sie einen WordPress Service in Betracht. Mit regelmässigen Updates können Schwachstellen behoben werden.
Gerne können Sie uns hierzu kontaktieren.
Grundsätzlich raten wir dazu, immer auf aktuelle Updates beim Theme und Plugin zu achten und die Anzahl der verwendeten Plugins weitestgehend zu minimieren. Deaktivieren reicht aber nicht aus – die WordPress Plugins müssen gelöscht werden. Auch eingeschränkte Zugriffsrechte der wp-admin-Verzeichnisse können das Risiko minimieren.
Was können Entwickler tun?
Entwickler von WordPress Plugins wird geraten ihren Code auf diese Sicherheitslücke hin zu prüfen.
Gerne stehen wir Ihnen bei weiteren Fragen rund um WordPress und die Sicherheit zur Verfügung.