90459 Nürnberg
+49 (0) 911 14 8 70 80 90
service@blogtopia.eu

Unser Blog für Blogger

Alle wichtigen News und Informationen für Blogbetreiber
Schriftgröße: +

Wordpress Update Server: 27 Prozent aller Wordpress-Seiten sollen gefährdet sein

Wordpress Update Server: 27 Prozent aller Wordpress-Seiten sollen gefährdet sein

Aufgrund einer unzureichenden Absicherung der Wordpress Update Server war es Angreifern möglich fremden Schadcode einzuspielen und durch die Wordpress Update Funktion zahlreiche Wordpress Seiten zu kompromittieren. Laut Aussagen der Wordpress Entwickler wurde diese Sicherheitslücke inzwischen geschlossen.


Hintergrund der Lücke war die Verwendung einer unsicheren Hash-Verschlüsselung. Diese war zu schwach bzw. mittlerweile als unsicher deklariert und konnte schnell ausgehebelt werden. Diese Hashfunktion stellt eigentlich sicher, dass nur verfizierte Entwickler Verändungen und Neuerungen am Wordpress-Code einspielen können. Entdeckt wurde diese Schwachstelle von Wordfence: [Siehe Link]

Problematisch war zudem, dass seit Wordpress 3.7 krittische Sicherheitslücken bzw. wenn Updates als solche markiert wurden, automatisch in den Wordpress-Seiten installiert bzw. eingespielt wurden. Wenn jedoch wie im aktuellen Fall der Update-Server manipuliert werden konnte, stellt dies ein Problem dar.

Jede aktuelle Wordpress-Seite nimmt stündlich eine Verbindung zu api.wordpress.org auf, um nach Updates zu fragen. Meldet der Update-Server ein Update, stellt dieser einen Link bereit, wodurch sich die eigene Wordpress-Seite das Update unter den Link automatisch zieht und installiert (bei krittisch deklarierten Seiten). Aktuellen Zahlen der Webanalysten von W3Techs zufolge besteht das Internet zu rund 27 Prozent aus WordPress-Seiten.

Hier liegt das aktuelle Problem: die Wordpress-Seiten vertrauen dem Update Server blind. D.h. es findet keine Gegenprüfung via digitaler Signaturen statt.

Wordpress hat die Sicherheitslücke bereits Anfang September, wenige Tage nach der Meldung durch Wordfence, geschlossen. Eine Überprüfung der ausgelieferten Updates findet aber nach wie vor nicht statt.

WordPress 4.7.5 veröffentlicht
Sicherheitslücke im All in One SEO Plugin für Word...

Ähnliche Beiträge

 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Gäste
Montag, 10. Dezember 2018