Immer mehr Unternehmen und Selbstständige setzen für ihren Online-Auftritt auf die Webanwendung WordPress. Das CMS-System ist einfach zu bedienen, lässt sich an die individuellen Anforderungen anpassen, Änderungen können leicht eingepflegt werden und sie ist wesentlich kostengünstiger, als ein eigenes System aufzusetzen und zu pflegen. Doch wie bei allen Programmen gibt es auch bei WordPress Sicherheitslücken – und je mehr Webseiten auf WordPress basieren, desto lukrativer wird es für Kriminelle, diese auszunutzen. Erst in der vergangenen Woche veröffentlichten die Entwickler von WordPress das Update auf Version 4.7.2. Jetzt hat sich herausgestellt, dass mit der vermeintlich harmlosen Aktualisierung eine kritische Sicherheitslücke in der WordPress-Software geschlossen wurde.
Über einen in der Schnittstelle WordPress REST API versteckten Programmierfehler können externe Angreifer offenbar Schad-Code in die WordPress-Webseiten einschleusen und an beliebiger Stelle platzieren oder aber die Inhalte manipulieren. Nötig dafür ist lediglich eine JSON-Abfrage (JavaScript Object Notation, ein kompaktes Datenformat zum Zweck des Datenaustauschs), über die der Schädling in das CMS geschmuggelt wird. Damit stehen zehntausende Webseiten im Fokus der Kriminellen – und damit auch Millionen von Nutzern. Insbesondere im Zusammenhang mit der Flut an Ransomware-Attacken in den letzten Monaten ist das äußerst beunruhigend. Und nicht nur für die Nutzer der Webseiten kann eine infizierte Webseite schlimme Konsequenzen haben. Der Image-Verlust für die Betreiber sollte ebenfalls nicht außer Acht gelassen werden. Umso mehr erstaunt es, dass die Lösung des Problems in einem völlig unauffälligen Update versteckt wurde, statt die Nutzer zu warnen.
Laut Aussage der Entwickler hatte man sich bewusst dafür entschieden, die unsichere Programmierung zu verharmlosen, um möglichst vielen Nutzern die Möglichkeit zu geben, das Update einzuspielen, bevor das ganze Ausmaß bekannt wurde. Das Problem: Wer Updates nicht automatisch bezieht, weil beispielsweise der Webhoster dabei nicht mitspielt, und die „harmlose Aktualisierung“ bislang nicht aufgespielt hat, steht jetzt im Visier der Hacker – und muss schleunigst handeln! Doch bis bei allen Nutzern bekannt ist, wie wichtig dieses Update ist, stehen auch weiterhin viele Webseiten ungeschützt im Netz und stellen eine Gefahr für die Nutzer dar – vom Leser eines Koch-Blogs bis zum Kunden der Schreinerei im Nachbarort.
Über einen in der Schnittstelle WordPress REST API versteckten Programmierfehler können externe Angreifer offenbar Schad-Code in die WordPress-Webseiten einschleusen und an beliebiger Stelle platzieren oder aber die Inhalte manipulieren. Nötig dafür ist lediglich eine JSON-Abfrage (JavaScript Object Notation, ein kompaktes Datenformat zum Zweck des Datenaustauschs), über die der Schädling in das CMS geschmuggelt wird. Damit stehen zehntausende Webseiten im Fokus der Kriminellen – und damit auch Millionen von Nutzern. Insbesondere im Zusammenhang mit der Flut an Ransomware-Attacken in den letzten Monaten ist das äußerst beunruhigend. Und nicht nur für die Nutzer der Webseiten kann eine infizierte Webseite schlimme Konsequenzen haben. Der Image-Verlust für die Betreiber sollte ebenfalls nicht außer Acht gelassen werden. Umso mehr erstaunt es, dass die Lösung des Problems in einem völlig unauffälligen Update versteckt wurde, statt die Nutzer zu warnen.
Laut Aussage der Entwickler hatte man sich bewusst dafür entschieden, die unsichere Programmierung zu verharmlosen, um möglichst vielen Nutzern die Möglichkeit zu geben, das Update einzuspielen, bevor das ganze Ausmaß bekannt wurde. Das Problem: Wer Updates nicht automatisch bezieht, weil beispielsweise der Webhoster dabei nicht mitspielt, und die „harmlose Aktualisierung“ bislang nicht aufgespielt hat, steht jetzt im Visier der Hacker – und muss schleunigst handeln! Doch bis bei allen Nutzern bekannt ist, wie wichtig dieses Update ist, stehen auch weiterhin viele Webseiten ungeschützt im Netz und stellen eine Gefahr für die Nutzer dar – vom Leser eines Koch-Blogs bis zum Kunden der Schreinerei im Nachbarort.
