In der vergangenen Woche wurde das Update auf Wordpress-Version 4.7.2 veröffentlicht und damit eine kritische Sicherheitslücke geschlossen. Durch diese konnten Angreifer aus der Ferne Schadcode in beliebige Seiten des CMS einschleusen.

"Das WordPress-Sicherheitsteam hat die wahre Natur dieser Lücke absichtlich geheimgehalten." Betreiber einer WordPress-Installation, die keine automatischen Updates erhalten oder das Update nicht bereits manuell nachinstalliert haben, sollten schleunigst handeln. Wird die Lücke nicht geschlossen, riskiert der Admin, dass der Inhalt ihrer Seiten gelöscht oder über diese Schadcode verteilt wird.

Am 20. Januar wurde die kritische Lücke von einem Sicherheitsforscher der Firma Sucuri entdeckt und an WordPress gemeldet. Nach eigenen Angaben entschied sich das Sicherheitsteam daraufhin, die Lücke zu schließen und die dazugehörigen Update-Notizen zu verharmlosen. So sollte Anwendern Zeit zum Einspielen von Updates gegeben werden. Dabei wurde befürchtet, dass Angreifer sofort auf die Lücke anspringen, hätte das Team die Details bekannt gemacht. Durch diese Entscheidung fand sämtliche Berichterstattung unter den falschen Voraussetzungen statt. Die Einschätzung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) fiel dadurch vom Schweregrad der Lücke auch zu harmlos aus.

WordPress-Nutzer, die aus verschiedenen Gründen die Auto-Updatefunktion des CMS nicht aktiviert haben, sind die Leidtragenden. Dies bedeutet wohl für die Zukunft, dass sich Administratoren einer WordPress-Plattform nicht mehr auf die Einschätzung der Entwickler zur Priorität von Updates verlassen können.

(ms, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE