Video: Achtung: WordPress Update RICHTIG durchführen [Deutsch]: In 5 Schritte Aktualisieren | Plugin, Theme (Kann 2024)
Wenn Sie eine WordPress-Site besitzen, stellen Sie sicher, dass Sie über Updates auf dem Laufenden bleiben - nicht nur für die Kernplattform, sondern auch für alle Themen und Plugins.
WordPress unterstützt über 70 Millionen Websites auf der ganzen Welt und ist damit ein attraktives Ziel für Cyberkriminelle. Angreifer missbrauchen häufig anfällige WordPress-Installationen, um Spam-Seiten und andere schädliche Inhalte zu hosten.
Forscher haben in den letzten Wochen eine Reihe schwerwiegender Sicherheitslücken in diesen beliebten WordPress-Plugins entdeckt. Überprüfen Sie Ihr Administrator-Dashboard und stellen Sie sicher, dass Sie die neuesten Versionen installiert haben.
1. MailPoet v2.6.7 verfügbar
Forscher des Web-Sicherheitsunternehmens Sucuri haben in MailPoet, einem Plugin, das WordPress-Benutzern das Erstellen von Newslettern, das Posten von Benachrichtigungen und das Erstellen von Auto-Respondern ermöglicht, einen Fehler beim Hochladen von Dateien per Fernzugriff festgestellt. Früher war das Plugin als Wysija-Newsletter bekannt und wurde mehr als 1, 7 Millionen Mal heruntergeladen. Die Entwickler haben den Fehler in Version 2.6.7 behoben. Frühere Versionen sind alle anfällig.
"Dieser Fehler sollte ernst genommen werden. Er gibt einem potenziellen Eindringling die Möglichkeit, auf der Website seines Opfers alles zu tun, was er will", sagte Daniel Cid, Chief Technology Officer von Sucuri, in einem Blogbeitrag am Dienstag. "Es kann jede PHP-Datei hochgeladen werden. Dadurch kann ein Angreifer Ihre Website für Phishing-Angriffe, das Senden von SPAM, das Hosten von Malware, das Infizieren anderer Kunden (auf einem gemeinsam genutzten Server) usw. verwenden."
Die Sicherheitsanfälligkeit ging davon aus, dass jeder, der den bestimmten Aufruf zum Hochladen der Datei ausführte, ein Administrator war, ohne tatsächlich zu überprüfen, ob der Benutzer authentifiziert wurde. Dies stellte Sucuri fest. "Es ist leicht, einen Fehler zu machen", sagte Cid.
2. TimThumb v2.8.14 verfügbar
Letzte Woche veröffentlichte ein Forscher Details zu einer schwerwiegenden Sicherheitslücke in TimThumb v2.8.13, einem Plugin, mit dem Benutzer Bilder automatisch zuschneiden, zoomen und ihre Größe ändern können. Der Entwickler von TimThumb, Ben Gillbanks, hat den Fehler in Version 2.8.14 behoben, die jetzt in Google Code verfügbar ist.
Die Sicherheitsanfälligkeit lag in der WebShot-Funktion von TimThumb vor und ermöglichte Angreifern (ohne Authentifizierung) das Entfernen von Seiten aus der Ferne und das Ändern von Inhalten durch Injizieren von bösartigem Code auf anfälligen Websites, so eine Analyse von Sucuri. Mit WebShot können Benutzer entfernte Webseiten abrufen und in Screenshots konvertieren.
"Mit einem einfachen Befehl kann ein Angreifer beliebige Dateien auf Ihrem Server erstellen, entfernen und ändern", schrieb Cid.
Da WebShot standardmäßig nicht aktiviert ist, sind die meisten TimThumb-Benutzer nicht betroffen. Das Risiko für Remotecodeausführungsangriffe bleibt jedoch bestehen, da WordPress-Designs, Plugins und andere Komponenten von Drittanbietern TimThumb verwenden. Der Forscher Pichaya Morimoto, der den Fehler in der vollständigen Offenlegungsliste aufgedeckt hatte, sagte, WordThumb 1.07, das WordPress Gallery Plugin und das IGIT Posts Slider Widget seien möglicherweise anfällig, ebenso wie Themen von der themify.me-Website.
Wenn Sie WebShot aktiviert haben, sollten Sie es deaktivieren, indem Sie die timthumb-Datei des Themes oder Plugins öffnen und den Wert von WEBSHOT_ENABLED auf false setzen. Sucuri empfiehlt dies.
Wenn Sie TimThumb noch verwenden, ist es an der Zeit, das Programm schrittweise zu beenden. Eine kürzlich von Incapsula durchgeführte Analyse ergab, dass 58 Prozent aller Angriffe auf WordPress-Websites, bei denen Remotedateien eingeschlossen wurden, TimThumb betrafen. Gillbanks hat TimThumb seit 2011 nicht mehr gepflegt (um einen Zero-Day-Fehler zu beheben), da die zentrale WordPress-Plattform jetzt Post-Thumbnails unterstützt.
"Ich habe TimThumb seit dem letzten TimThumb-Sicherheits-Exploit 2011 nicht mehr in einem WordPress-Theme verwendet", sagte Gillbanks.
3. Alles in einem SEO Pack v2.1.6 verfügbar
Anfang Juni haben Sucuri-Forscher in All in ONE SEO Pack eine Sicherheitsanfälligkeit in Bezug auf die Eskalation von Privilegien aufgedeckt. Das Plugin optimiert WordPress-Sites für Suchmaschinen und die Sicherheitsanfälligkeit ermöglicht es Benutzern, Titel, Beschreibungen und Metatags auch ohne Administratorrechte zu ändern. Dieser Fehler könnte mit einer zweiten Eskalationslücke (die ebenfalls behoben wurde) verbunden sein, um böswilligen JavaScript-Code in die Seiten der Site einzufügen und "Dinge wie das Ändern des Kontokennworts des Administrators, um eine Hintertür in den Dateien Ihrer Webiste zu hinterlassen", sagte Sucuri.
Schätzungen zufolge nutzen rund 15 Millionen WordPress-Sites das All-in-One-SEO-Paket. Sempre Fi, die Firma, die das Plugin verwaltet, hat im letzten Monat einen Fix in 2.1.6 rausgebracht.
4. Login Rebuilder v1.2.3 verfügbar
Das US-CERT Cyber Security Bulletin der letzten Woche enthielt zwei Sicherheitslücken, die WordPress-Plugins betreffen. Das erste Problem war ein Cross-Site Request Forgery-Fehler im Login Rebuilder-Plugin, der es Angreifern ermöglichte, die Authentifizierung beliebiger Benutzer zu missbrauchen. Wenn ein Benutzer eine böswillige Seite ansieht, während er auf der WordPress-Site angemeldet ist, können Angreifer die Sitzung entführen. Der Angriff, für den keine Authentifizierung erforderlich war, kann laut der National Vulnerability Database zur unbefugten Offenlegung von Informationen, Änderungen und Unterbrechungen der Website führen.
Versionen 1.2.0 und früher sind anfällig. Letzte Woche hat Developer 12net eine neue Version 1.2.3 veröffentlicht.
5. JW Player v2.1.4 verfügbar
Das zweite Problem, das im US-CERT-Bulletin enthalten ist, war eine Sicherheitsanfälligkeit in Bezug auf plattformübergreifende Fälschungen im JW Player-Plugin. Mit dem Plugin können Benutzer Flash- und HTML5-Audio- und -Videoclips sowie YouTube-Sitzungen auf der WordPress-Site einbetten. Angreifer könnten die Authentifizierung von Administratoren, die dazu verleitet wurden, eine böswillige Website zu besuchen, aus der Ferne missbrauchen und die Videoplayer von der Website entfernen.
Versionen 2.1.3 und früher sind anfällig. Der Entwickler hat den Fehler in Version 2.1.4 letzte Woche behoben.
Regelmäßige Updates sind wichtig
Im vergangenen Jahr analysierte Checkmarx die 50 am häufigsten heruntergeladenen Plugins und die 10 wichtigsten E-Commerce-Plugins für WordPress und fand in 20 Prozent der Plugins allgemeine Sicherheitsprobleme wie SQL-Injection, Cross-Site-Scripting und Cross-Site-Request-Forgery.
Letzte Woche warnte Sucuri, dass "Tausende" von WordPress-Sites gehackt und Spam-Seiten in das Kernverzeichnis von wp-includes auf dem Server eingefügt wurden. "Die SPAM-Seiten sind in einem zufälligen Verzeichnis in wp-includes versteckt", warnte Cid. Die Seiten finden Sie beispielsweise unter / wp-includes / finance / paydayloan.
Während Sucuri keinen "endgültigen Beweis" dafür hatte, wie diese Websites kompromittiert wurden, "werden auf den Websites in fast allen Fällen veraltete WordPress-Installationen oder cPanel ausgeführt", schrieb Cid.
WordPress hat einen ziemlich reibungslosen Update-Prozess für seine Plugins und Core-Dateien. Websitebesitzer müssen regelmäßig nach Updates suchen und diese für alle Updates installieren. Es lohnt sich auch, alle Verzeichnisse wie wp-includes zu durchsuchen, um sicherzustellen, dass unbekannte Dateien keinen Wohnsitz haben.
"Das Letzte, was jeder Website-Besitzer möchte, ist, später herauszufinden, dass seine Marken- und Systemressourcen für schändliche Handlungen verwendet wurden", sagte Cid.
