Nach heftiger Kritik: Wordpress schließt gefährliche Lücke

8. Mai 2015, 13:25
6 Postings

Über die Schwachstelle hätten Angreifer vollkommene Kontrolle über Websites erlangen können

Wordpress hat mit einem neuen Update für das Schließen einer kritischen Lücke gesorgt. Die Schwachstelle wird mit der aktuellen Version 4.2.2 unschädlich gemacht, die am Donnerstag veröffentlicht worden ist. Einen Tag zuvor hatte Sucuri die Lücke öffentlich gemacht und eine scharfe Warnung an Nutzer ausgesprochen.

Schwachstellen

Der Fehler liegt in einer Datei namens "example.html", die im Ordner des Wordpress-Themes Twenty-Fifteen abgespeichert ist. Dieser wird automatisch bei jeder Installation mitgeliefert, es sind also potenziell alle Nutzer betroffen. Außerdem soll das Plugin JetPack über eine Schwachstelle verfügen. Hacker wären durch Ausnützen der Fehler in der Lage, die Kontrolle über die Website zu übermitteln. Laut Spiegel könnten sie unbemerkt Schadcode an die Administratoren schicken.

"Dummes Versehen"

Sucuri-Sicherheitsforscher David Dede spricht von einem "dummen Versehen", das "verheerende Auswirkungen auf ahnungslose Nutzer und Unternehmen" haben könnte. Denn für Normalnutzer erfüllen die betroffenen Dateien keinen Zweck. Nun wird ein dringendes Update empfohlen. Vor wenigen Wochen hatte bereits das FBI davor gewarnt, dass Wordpress nicht absolut sicher sei. (fsc, 8.5.2015)

  • Über Schwachstellen können Angreifer Seiten mit Wordpress übernehmen
    foto: ap/augstein

    Über Schwachstellen können Angreifer Seiten mit Wordpress übernehmen

Share if you care.