Zum Ende des letzten Jahres wurde die neue Wordpress Version 4.7 veröffentlicht. Die Blog-Software erreicht durch den Einsatz als Content Management System eine weltweit sehr hohe Verbreitung und hat mittlerweile eine Download-Zahl von rund 38 Millionen.
Allerdings bedingt die hohe Verbreitung auch die Gefahr, dass Sicherheitslücken schnell ausgenutzt werden. Zu Beginn des Jahres wurde für Version 4.7 direkt ein Update nachgeschoben und zuletzt mit der Version 4.7.2 ein Update mit diversen Patches für bereits entdeckte Lücken.
Es wurde konkret eine Lücke in der Wordpress REST API entdeckt. Diese lässt es zu, dass von außen Inhalte einer Wordpress-Seite direkt manipuliert werden können. Es ist dadurch möglich, ungewollte Inhalte oder sogar manipulierte Javascripts einzuschleusen, um einen Besucher zu weiteren manipulierten Seiten zu führen und ggf. den Computer des Besuchers selbst zu infizieren.
Die REST API kann über Umwege auch händisch abgesichert werden. Besitzer der Versionen 4.7 und 4.7.1 sollten daher dringend tätig werden.
Die aktuelle Wordpress Version besitzt die Fähigkeit sich selbst zu aktualisieren. Diese Option sollte bei Standard-Installationen, ohne größeres Theme und ohne Plugin-Einsatz, in jedem Fall genutzt werden.
Für alle weiteren Installationen ist es ratsam ein Update durchzuführen oder zumindest eine Analyse des aktuellen Zustands der Wordpress Installation vorzunehmen. consulting1x1 hilft Ihnen gerne Ihre Installation abzusichern und ein Wordpress Hardening durchzuführen. Wir schauen nach potentiell gefährlichen Plugins und Code in ihrem Theme. Wir freuen uns, wenn Sie sich bei Fragen an uns wenden.
Weiterer Sicherheitshinweis:
Von der Nutzung von Plugins wie z.B. Exec-PHP und Insert PHP ist dringend abzuraten. Durch diese Plugins können insbesondere bei den bekannten Sicherheitslücken Schadcode eingeschleust werden, um sowohl das ganze Wordpress-System, als auch den Server selbst zu infizieren.