Tausende WordPress-Webseiten im Visier der Hacker

(PresseBox) ( Neustadt an der Weinstraße, )
Immer mehr Unternehmen und Selbstständige setzen für ihren Online-Auftritt auf die Webanwendung WordPress. Das CMS-System ist einfach zu bedienen, lässt sich an die individuellen Anforderungen anpassen, Änderungen können leicht eingepflegt werden und sie ist wesentlich kostengünstiger, als ein eigenes System aufzusetzen und zu pflegen. Doch wie bei allen Programmen gibt es auch bei WordPress Sicherheitslücken – und je mehr Webseiten auf WordPress basieren, desto lukrativer wird es für Kriminelle, diese auszunutzen. Erst in der vergangenen Woche veröffentlichten die Entwickler von WordPress das Update auf Version 4.7.2. Jetzt hat sich herausgestellt, dass mit der vermeintlich harmlosen Aktualisierung eine kritische Sicherheitslücke in der WordPress-Software geschlossen wurde.

Über einen in der Schnittstelle WordPress REST API versteckten Programmierfehler können externe Angreifer offenbar Schad-Code in die WordPress-Webseiten einschleusen und an beliebiger Stelle platzieren oder aber die Inhalte manipulieren. Nötig dafür ist lediglich eine JSON-Abfrage (JavaScript Object Notation, ein kompaktes Datenformat zum Zweck des Datenaustauschs), über die der Schädling in das CMS geschmuggelt wird. Damit stehen zehntausende Webseiten im Fokus der Kriminellen – und damit auch Millionen von Nutzern. Insbesondere im Zusammenhang mit der Flut an Ransomware-Attacken in den letzten Monaten ist das äußerst beunruhigend. Und nicht nur für die Nutzer der Webseiten kann eine infizierte Webseite schlimme Konsequenzen haben. Der Image-Verlust für die Betreiber sollte ebenfalls nicht außer Acht gelassen werden. Umso mehr erstaunt es, dass die Lösung des Problems in einem völlig unauffälligen Update versteckt wurde, statt die Nutzer zu warnen.

Laut Aussage der Entwickler hatte man sich bewusst dafür entschieden, die unsichere Programmierung zu verharmlosen, um möglichst vielen Nutzern die Möglichkeit zu geben, das Update einzuspielen, bevor das ganze Ausmaß bekannt wurde. Das Problem: Wer Updates nicht automatisch bezieht, weil beispielsweise der Webhoster dabei nicht mitspielt, und die „harmlose Aktualisierung“ bislang nicht aufgespielt hat, steht jetzt im Visier der Hacker – und muss schleunigst handeln! Doch bis bei allen Nutzern bekannt ist, wie wichtig dieses Update ist, stehen auch weiterhin viele Webseiten ungeschützt im Netz und stellen eine Gefahr für die Nutzer dar – vom Leser eines Koch-Blogs bis zum Kunden der Schreinerei im Nachbarort.
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.