Eine neue Version von Wordpress steht Blog- und Seitenbetreibern zur Verfügung. Der aktuelle Release schließt einige Sicherheitslücken. In Summe sind es sechs geschlossene Sicherheitslücken.
Aufgrund einer unzureichenden Absicherung der Wordpress Update Server war es Angreifern möglich fremden Schadcode einzuspielen und durch die Wordpress Update Funktion zahlreiche Wordpress Seiten zu kompromittieren. Laut Aussagen der Wordpress Entwickler wurde diese Sicherheitslücke inzwischen geschlossen.
Hintergrund der Lücke war die Verwendung einer unsicheren Hash-Verschlüsselung. Diese war zu schwach bzw. mittlerweile als unsicher deklariert und konnte schnell ausgehebelt werden. Diese Hashfunktion stellt eigentlich sicher, dass nur verfizierte Entwickler Verändungen und Neuerungen am Wordpress-Code einspielen können. Entdeckt wurde diese Schwachstelle von Wordfence: [Siehe Link]
Problematisch war zudem, dass seit Wordpress 3.7 krittische Sicherheitslücken bzw. wenn Updates als solche markiert wurden, automatisch in den Wordpress-Seiten installiert bzw. eingespielt wurden. Wenn jedoch wie im aktuellen Fall der Update-Server manipuliert werden konnte, stellt dies ein Problem dar.
Jede aktuelle Wordpress-Seite nimmt stündlich eine Verbindung zu api.wordpress.org auf, um nach Updates zu fragen. Meldet der Update-Server ein Update, stellt dieser einen Link bereit, wodurch sich die eigene Wordpress-Seite das Update unter den Link automatisch zieht und installiert (bei krittisch deklarierten Seiten). Aktuellen Zahlen der Webanalysten von W3Techs zufolge besteht das Internet zu rund 27 Prozent aus WordPress-Seiten.
Hier liegt das aktuelle Problem: die Wordpress-Seiten vertrauen dem Update Server blind. D.h. es findet keine Gegenprüfung via digitaler Signaturen statt.
Wer das SEO Plugin All in One SEO Pack für Wordpress verwendet, sollte dringend das neuste Update installieren. Eine schwerwiegenede Sicherheitslücke wurde in Version 2.3.6.1 entdeckt. Frühere Versionen des beliebten SEO Plugins sind ebenfalls betroffen. Ab der Version 2.3.7 ist die Sicherheitslücke geschlossen.
Seit dem 4.7.2011 (Independence Day) steht nun nach langer Entwicklungszeit Wordpress 3.2 zum Download bereit und löst damit die am 23. Februar 2011 erschienene Wordpress Version 3.1 ab. Der kleine Zähler nach dem Punkt der 3.x Version bringt zahlreiche Neuerungen, die das Bloggen komfortabler machen sollen. Die Version ist dem Komponisten George Gershwin gewidmet.