Das WordPress Team hat seine neue Version der beliebten Blog-Software veröffentlicht. Wie auch schon in der Vorgängerversion wurden mit dem aktuellen Update auf die CMS-Version WordPress 4.2.4 nicht nur einige Fehler beseitigt, sondern auch gefährliche Sicherheitslücken geschlossen. Insgesamt hat das WordPress Team sechs Schwachstellen geschlossen, über die sich Angreifer Zugriff auf den Server verschaffen und das System mit Viren zu infizieren können.
Angreifer nutzen dazu gerne weit verbreitete Software wie die kostenlosen CMS-Lösungen WordPress, Joomla oder Drupal, die man über das Internet erreichen kann: Aktualisieren die Nutzer ihre Versionen nicht regelmäßig, lassen sich über vorhandene Sicherheitslücken in älteren Versionen schnell schädliche Programme auf den Server laden und installieren – das Spam-Programm „Stealrat“ nutzt sehr gerne solche Lücken aus, um unbemerkt über fremde Server Spam-Emails zu verschicken. Das geschieht so lange unbemerkt im Hintergrund, bis die oft gut versteckte Malware dem Webmaster auffällt oder der Server von Email-Sparlisten geblockt wird und Emails nicht mehr verschickt werden können.
Tipp: So teste ich, ob mein Server infiziert ist
Das neue WordPress Update auf Version 4.2.4 behebt einige Fehler, schließt laut den „Release Notes“ aber vor allem sechs Sicherheitslücken: Davon unter anderem drei Cross-Site-Scripting (XSS) Lücken und eine möglichen SQL Injection, die eine ältere WordPress-Installation über das Senden gefährlicher Daten direkt an die Datenbank angreifen konnte. Bisher gibt es noch keine Informationen darüber, ob Hacker die WordPress Sicherheitslücken aktiv ausgenutzt haben. Trotzdem empfiehlt sich das möglichst schnelle Update für alle Seitenbetreiber.
Tipp: So schütze ich mein WordPress vor Angreifern
Um das eigene WordPress aber sicher und den Server frei von heimlich installierten Viren zu halten, muss nicht nur WordPress selbst regelmäßig aktualisiert werden, auch die Plugins und Themes können gefährlich sein, wie der „SoakSoak“ Hack zeigte: Über eine Sicherheitslücke in einem beliebten Plugin bekamen Angreifer Zugriff auf eine Webseite und lenkten die Besucher auf eine russische Malware-Seite um. Daher sollte man beides nicht über fremde Webseiten, sondern nur direkt über die offizielle WordPress Plugin- und Theme-Seite laden. Außerdem müssen die Themes genauso regelmäßig aktualisiert werden wie WordPress selbst.
Hat man die automatische Update-Funktion aktiviert, wird automatisch die neueste Version von WordPress geladen und automatisch installiert. Falls es dabei aber zu Problemen kommt oder das automatische Update nicht erfolgreich war, muss man sein WordPress selber aktualisieren. Aus dem Admin-Bereich lässt sich das Update direkt herunterladen und aktivieren: Auf jeder Seite zeigt WordPress mittlerweile einen Warnhinweis, wenn ein neues Update zur Verfügung steht. Nur wenn auch das nicht funktioniert, sollte man die Daten direkt von der WordPress Seite herunterladen und auf dem Server überschreiben – und anschließend dann den WordPress Wartungsmodus beenden.
