WordPress Sicherheitslücke: So schützt man sich!

In der aktuellen Version der OpenSource Software WordPress ist eine Sicherheitslücke enthalten, über die Angreifer auf den eigenen Benutzer-Account zugreifen und sich anschließend einloggen können – auch mit Admin-Rechten! Die Blog-Software WordPress ist ein Programm, das auf vielen Webservern zum schnellen Veröffentlichen von Inhalten, Fotos und Bildern installiert ist. Über die entdeckte Sicherheitslücke lässt sich Code mit einem manipulierten Kommentar einschleusen.

Lies ein Nutzer mit Admin-Rechten einen solchen Kommentar auf der WordPress-Webseite selber (und nicht über das Admin-Interface), kann der Angreifer sich Zugang zu diesem Admin-Account verschaffen. Die Admin-Seiten selbst sollen die Sicherheitslücke nicht enthalten: Wenn man einen Kommentar mit Programmiercode im Admin-Interface sieht und direkt löscht, hat der Angreifer Pech gehabt. Betroffen sein sollen von der Sicherheitslücke unter anderem die aktuelle WordPress-Version 4.2, aber auch die älteren Version 4.1.2, 4.1.1 oder 3.9.

Um bis zu einem WordPress-Update auf der sicheren Seite zu sein, hilft es daher die Kommentarfunktion abzuschalten – oder die Kommentare erst alle einzeln nach Prüfung freizuschalten. So kann man die jeweiligen Kommentare zunächst im Admin-Bereich lesen, bevor sie schließlich freigeschaltet und auf der Webseite angezeigt werden.

Die Einstellungen zur Kommentar-Funktion befinden sich bei WordPress unter „Einstellungen“ » „Diskussion“. Hier kann man entweder das Kommentieren der Beiträge generell verbieten (1) oder einstellen, dass alle Kommentare zunächst bestätigt werden müssen (2).