Neue Sicherheitslücke in WordPress – So bekämpft man sie!

In der Blog- und CMS-Software WordPress ist eine weitere, gefährliche „Cross-Site-Scripting“ Lücke entdeckt worden: Angreifer sollen über die Sicherheitslücke gefährlichen Javascript-Code einschleusen können und Zugriff auf das Admin-Interface bekommen, wenn der aktuell angemeldete User ebenfalls Admin-Rechte hatte. Die gefährliche Sicherheitslücke befindet sich in einer Datei in dem automatisch mitgelieferten Theme „Twenty Fifteen“ – zusätzlich auch noch in der Plugindatei „Jetpack“.

Wer das beiliegende Standard-Theme ausgewählt hat oder das Plugin aktiviert hat, ist für die Cross-Site-Scripting“ (XSS)-Lücke anfällig und sollte schnell handeln, so der Sicherheitsforscher David Dede. Sowohl das Theme als auch das Plugin enthalten einen Ordner „genericons“, in dem sich die Datei „example.html“ befindet: Laut David Dede reicht es bereits aus, diese Beispieldatei aus dem Ordner zu löschen, um sein WordPress-System zumindest gegen die aktuelle Sicherheitslücke abzusichern.

Zusätzlich sollte man sein WordPress auf die aktuelle Version 4.2.2 aktualisieren, da in älteren Versionen noch weitere Sicherheitslücken gefunden wurden, die mit der aktuellen Version Ende April geschlossen wurden. Ein Update des WordPress-Systems lässt sich direkt aus dem Admin-Bereich durchführen, indem man auf den Hinweis zum Versions-Update oben auf jeder Seite im Admin-Bereich klickt:

Betroffen von der aktuellen Sicherheitslücke sind sehr viele Webseiten: Alleine das Jetpack-Plugin soll laut Dede über eine Million Nutzer haben. Neben dem ebenfalls betroffenen Standard-Theme, das mit jeder neuen WordPress-Installation ausgeliefert sind, könnten noch deutlich mehr, bisher nicht entdeckte Plugins angreifbar sein: Alle Dateien, die das „genericons“-Paket mit der unsicheren example.html Datei benutzen, könnten potentiell angreifbar sein, solange die Datei nicht gelöscht wurde.