90459 Nürnberg
+49 (0) 911 14 8 70 80 90
service@blogtopia.eu

Unser Blog für Blogger

Alle wichtigen News und Informationen für Blogbetreiber

Wordpress Update Server: 27 Prozent aller Wordpress-Seiten sollen gefährdet sein

Wordpress Update Server: 27 Prozent aller Wordpress-Seiten sollen gefährdet sein

Aufgrund einer unzureichenden Absicherung der Wordpress Update Server war es Angreifern möglich fremden Schadcode einzuspielen und durch die Wordpress Update Funktion zahlreiche Wordpress Seiten zu kompromittieren. Laut Aussagen der Wordpress Entwickler wurde diese Sicherheitslücke inzwischen geschlossen.

Hintergrund der Lücke war die Verwendung einer unsicheren Hash-Verschlüsselung. Diese war zu schwach bzw. mittlerweile als unsicher deklariert und konnte schnell ausgehebelt werden. Diese Hashfunktion stellt eigentlich sicher, dass nur verfizierte Entwickler Verändungen und Neuerungen am Wordpress-Code einspielen können. Entdeckt wurde diese Schwachstelle von Wordfence: [Siehe Link]

Problematisch war zudem, dass seit Wordpress 3.7 krittische Sicherheitslücken bzw. wenn Updates als solche markiert wurden, automatisch in den Wordpress-Seiten installiert bzw. eingespielt wurden. Wenn jedoch wie im aktuellen Fall der Update-Server manipuliert werden konnte, stellt dies ein Problem dar.

Jede aktuelle Wordpress-Seite nimmt stündlich eine Verbindung zu api.wordpress.org auf, um nach Updates zu fragen. Meldet der Update-Server ein Update, stellt dieser einen Link bereit, wodurch sich die eigene Wordpress-Seite das Update unter den Link automatisch zieht und installiert (bei krittisch deklarierten Seiten). Aktuellen Zahlen der Webanalysten von W3Techs zufolge besteht das Internet zu rund 27 Prozent aus WordPress-Seiten.

Hier liegt das aktuelle Problem: die Wordpress-Seiten vertrauen dem Update Server blind. D.h. es findet keine Gegenprüfung via digitaler Signaturen statt.

Weiterlesen
  642 Aufrufe
Markiert in:
642 Aufrufe

Sicherheitslücke im All in One SEO Plugin für Wordpress

Sicherheitslücke im All in One SEO Plugin für Wordpress

Wer das SEO Plugin All in One SEO Pack für Wordpress verwendet, sollte dringend das neuste Update installieren. Eine schwerwiegenede Sicherheitslücke wurde in Version 2.3.6.1 entdeckt. Frühere Versionen des beliebten SEO Plugins sind ebenfalls betroffen. Ab der Version 2.3.7 ist die Sicherheitslücke geschlossen.

Weiterlesen
  827 Aufrufe
827 Aufrufe