WordPress 4.2.4 zum Download – Update behebt 6 Sicherheitslücken

Heute nacht hat das WordPress Team eine neue Version des beliebten Blog- und CMS-Programms veröffentlicht. Wie auch schon in der Vorgängerversion wurden mit dem aktuellen Update auf WordPress 4.2.4 nicht nur einige Fehler beseitigt, sondern vor allem Sicherheitslücken geschlossen. Insgesamt hat das WordPress Team sechs Sicherheitslücken geschlossen, über die sich Angreifer Zugriff zu der Installation verschaffen und den Server mit Viren zu infizieren können.

Angreifer nutzen dazu gerne weit verbreitete Software wie die kostenlosen CMS-Lösungen WordPress, Joomla oder Drupal: Aktualisieren die Nutzer ihre Versionen nicht regelmäßig, lassen sich über die Sicherheitslücken in älteren Versionen schnell schädliche Programme auf den Server laden und installieren – das Spam-Programm „Stealrat“ nutzt sehr gerne solche Lücken aus, um unbemerkt über fremde Server Spam-Emails zu verschicken.

Tipp: So teste ich, ob mein Server infiziert ist

Das neue WordPress Update auf Version 4.2.4 schließt laut den „Release Notes“ jetzt sechs Sicherheitslücken: Davon unter anderem drei Cross-Site-Scripting Lücken und einer möglichen SQL Injection, die eine WordPress-Installation über das Senden gefährlicher Daten direkt an die Datenbank angreifen konnte.

Tipp: So schütze ich mein WordPress vor Angreifern

Um das eigene WordPress aber sicher und den Server frei von heimlich installierten Viren zu halten, muss nicht nur WordPress selbst regelmäßig aktualisiert werden, auch die Plugins und Themes können gefährlich sein, wie der „SoakSoak“ Hack zeigte: Über eine Sicherheitslücke in einem beliebten Plugin bekamen Angreifer Zugriff auf eine Webseite und lenkten die Besucher auf eine russische Malware-Seite um. Daher sollte man beides nicht über fremde Webseiten, sondern nur direkt über die offizielle WordPress Plugin- und Theme-Seite laden. Außerdem müssen die Themes genauso regelmäßig aktualisiert werden wie WordPress selbst.

Hat man die automatische Update-Funktion aktiviert, wird automatisch die neueste Version von WordPress geladen und automatisch installiert. Falls es dabei aber zu Problemen kommt oder das automatische Update nicht erfolgreich war, muss man sein WordPress selber aktualisieren. Aus dem Admin-Bereich lässt sich das Update direkt herunterladen und aktivieren: Auf jeder Seite zeigt WordPress mittlerweile einen Warnhinweis, wenn ein neues Update zur Verfügung steht. Nur wenn auch das nicht funktioniert, sollte man die Daten direkt von der WordPress Seite herunterladen und auf dem Server überschreiben – und anschließend dann den WordPress Wartungsmodus beenden.