Große Sicherheitslücke in WordPress 3 entdeckt

seo suchmaschinen daten

Wie heute bekannt wurde, steckt in der Kommentarfunktion von WordPress 3 eine gravierende Sicherheitslücke:

Über das Kommentarformular ist es Angreifern möglich, Schadcode per Javascript in Euren WordPress-Blog zu schleusen. Selbst wenn Ihr Kommentare erst freigeben müsst, damit diese im Artikel sichtbar werden, kann der Schadcode schon längst ausgeführt worden sein. Dafür ist es nur nötig, den betreffenden Kommentar im Backend zu öffnen, um ihn beispielsweise zu lesen, editieren oder freizuschalten.

„Bestenfalls“ werden anschließend die JavaScripte und Parallax-Effekte auf dem eigenen WordPress-Blog lahmgelegt, ohne dass Ihr selbst Änderungen vorgenommen habt. Löscht Ihr den Kommentar unwiderruflich, der dies ausgelöst hat, sollten wieder alle Funktionen und Features ohne Probleme laufen. Es genügt also nicht, den Kommentar nur in den Papierkorb zu verschieben!

Schadcode sperrt WordPress-Admin aus!

Eine andere Möglichkeit ist, dass durch den Schadcode unbemerkt ein neuer User mit Admin-Rechten angelegt wird. Dieser kann dann zum Beispiel Euer Passwort ändern und Euch somit aus Eurem eigenen WordPress aussperren.

Wir empfehlen daher dringend auf die aktuelle WordPress Version 4.0.1 zu aktualisieren, die neben dieser noch einige andere Sicherheitslücken schließt.

Den Originalartikel vom Sicherheitsexperten Jouko Pynnonen findet Ihr hier.