WordPress Update und WordPress Sicherheit

WordPress Update und WordPress Sicherheit

WordPress Update

Das regelmäßige WordPress Update ist entscheidend, um das bei Cyberkriminellen nach wie vor sehr beliebte Content Management System sicher zu halten. Simple Web-Solutions gibt Ihnen hier regelmäßig Informationen zu WordPress Updates und WordPress Sicherheitslücken.

Wichtige WordPress Updates und Informationen zur WordPress Sicherheit

Hackerangriffe nehmen rasant zu. Immer häufiger und in immer größerem Ausmaß werden auf veralteter Software basierende Websites angegriffen und gehackt. Viele kleine und mittelständische Unternehmen, Vereine, Freiberufler und Einzelunternehmer, die typischen WordPress-Kunden, sind nach wie vor viel zu leichtsinnig, wenn es um die Sicherheit Ihrer Systeme geht. Das Resultat sind Schadensfälle, die für betroffene Anbieter existenzbedrohend oder sogar unternehmenrisch existenzbeendend ausfallen können.

Was Sie aktuell tun müssen, um Ihr WordPress Content Management System sicher zu halten, erfahren Sie in diesem Artikel.

Wordfence

Sicherheitslücke in WordPress Plugin WPBakery entdeckt

Am 7.10.2020 meldeten die Sicherheitsexperten von Wordfence eine Sicherheitslücke in dem WordPress Plugin WPBakery entdeckt. Wer die Erweiterung einsetzt, sollte dringend die neueste Version einspielen.
Sicherheitslücken in WordPress Plugins bleiben also weiterhin ein ernsthaftes Problem. Wenn Sie ein WordPress System einsetzen, sollten Sie daher immer darauf achten, dass alle eingesetzten Erweiterungen (Plugins) immer auf dem aktuellesten Stand sind und keine bekannten Sicherheitslücken aufweisen. Unterstützen kann Sie hierbei eine spezialisierte WordPress Agentur wie Simple Web-Solutions.

WPBakery hat eine Sicherheitslücke - 4,3 Millionen Websites betroffen

WPBakery ist das wahrscheinlich beliebteste Page Builder Plugin für WordPress. WPBakery wird von 4,3 Millionen Websites eingesetzt. Mit der Erweiterung lassen sich Webseiten leicht per Drag-and-Drop anpassen.

Das so viele Websites von dieser Sicherheitslücke betroffen sind, liegt zum Teil auch daran, dass die Erweiterung WPBakery häufig als Teil von kostenpflichtigen Premium-Themes ausgeliefert wird. Wer so WPBakery installiert hat, muss ebenfalls dringend überprüfen, ob der Kauf des Themes auch zu Updates berechtigt. Die eingesetzte Plugin Version kann man im WordPress Plugin Dashboard überprüfen.

Das auf Sicherheit bei WordPress spezialisierte Unternehmen Wordfence hat jetzt wieder einmal eine schwerwiegende Sicherheitslücke für WordPress entdeckt. Jetzt ist das Plugin WPBakery betroffen. Nutzerinnen und Nutzer mit Autorenrechten könnten die Lücke ausnutzen um potenziell schädlichen JavaScript Code in Webseiten einzufügen. Außerdem könnten auch Beiträge anderer Autoren bearbeitet werden. Sollte ein Administrator oder eine Administratorin eine entsprechend manipulierte Website ausführen, könnten sich Angreifende möglicherweise auch Administrationsrechte sichern.

Nachdem Wordfence das Entwicklungsteam von WPBakery über die Sicherheitslücke informiert hat, haben diese ein Update für das Plugin veröffentlicht. Wer WPBakery einsetzt, der sollte die Erweiterung dringend auf die neue Version 6.4.1 aktualisieren.

700.000 Sites von kritischer Lücke in WordPress-Erweiterung betroffen

Wie am 6. August 2020 bekannt wurde, enthielten die weit verbreiteten Elegant Themes „Divi“ und „Extra“ sowie der „Divi Builder“ von Elegant Themes kritische Sicherheitslücken. Das Team von Wordfence hatte die Probleme entdeckt und gemeldet. Schon wenige Tage, nachdem die Probleme bekannt wurden, stellt der Anbieter Updates bereit, die die Probleme beseitigen. Betreiber*innen vonWebsites auf Basis des CMS  WordPress, die die Plugins nutzen, sollten die Aktualisierungen umgehend installieren, da mit flächendeckenden Angriffen zu rechnen ist.

Die Probleme liegen in einer mangelhaften Dateityp-Prüfung der Upload-Funktion und führen dazu, dass Angreifende beliebige Dateien hochladen können. Das funktioniert beispielsweise auch mit PHP-Dateien mit einer Webshell. Angreifende benötigen hier allerdings bereits einen Zugang zur Site, etwa als registrierter Benutzer. Genauere Informationen bietet Wordfence in seinem Advisory.

Akut betroffen von der Sicherheitslücke sind laut Elegant Themes alle Websites, die „Divi“ ab Version 3.0, „Extra“ ab Version 2.0 und/oder „Divi Builder“ ab Version 2.0 einsetzen. Erst die Versionen 4.5.3 beseitigen das Problem.

Eine Systemprüfung sowie das Upgrade sollten dringend ausgeführt werden.

WordPress Sicherheit

WordPress 5.4.2 Sicherheits- und Wartungs-Release

WordPress 5.4.2 wurde am 11.06.2020  veröffentlicht. Dieses Sicherheits- und Wartungs-Release bringt 23 Fixes, bzw. Verbesserungen und behebt 6 Sicherheitslücken. Es wird empfohlen, möglichst zeitnah WordPress Content Management Systeme zu aktualisieren. Für alle WordPress-Versionen ab 3.7 wurden entsprechende Sicherheits-Updates veröffentlicht.

Die WordPress-Versionen 5.4.1 und älter sind von den folgenden Schwachstellen betroffen, die mit der Version 5.4.2 behoben werden:

  • XSS-Schwachstelle, durch die authentifizierte Benutzer mit geringen Rechten JavaScript zu Beiträgen im Block-Editor hinzufügen können
  • XSS-Schwachstelle, durch die authentifizierte Benutzer mit Upload-Berechtigungen JavaScript zu Mediendateien hinzufügen können
  • Offenes Weiterleitungs-Problems in wp_validate_redirect
  • Authentifizierte XSS-Schwachstelle bei den Theme-Uploads
  • Schwachstelle, bei der die set-screen-option von Plugins zweckentfremdet werden kann, was zu einer Erweiterung der Berechtigungen führt
  • Schwachstelle, durch die Kommentare von passwortgeschützten Beiträgen und Seiten unter bestimmten Bedingungen angezeigt werden können

WordPress Plugin SiteKit dringend aktualisieren

Schon im Dezember 2018 brachte Google das WordPress Plugin SiteKit auf den Markt. Google wollte WordPress Nutzern die Gelegenheit bieten, die Webseite einfach mit Google-Diensten zu verzahnen.

Das etwas halbherzigen Projekte von Google verursacht wiedereinmal Sicherheitsprobleme. Viele Webseitenbetreiber, die WordPress nutzen, sind noch immer eher faul, wenn es um Aktualsierungen geht. Wir empfehlen Ihnen dringend ein Update, wenn sie SiteKit einsetzen, auf die aktuelle Version SiteKit 1.8.0.

Die aktuell offengelegte Sicherheitslücken die jetzt gepatcht wird, könnte dazu führen, dass Angreifer Zugriff auf eine Webseite in der Google Suchkonsole erhalten. Der Besitzerzugriff ermöglicht es Angreifern, Sitemaps zu ändern, Seiten aus dem Ranking der Suchmaschine Google (SERPs) zu löschen oder Black Hat SEO Kampagnen zu starten.

Sofern noch nicht geschehen, sollten WordPress-Systeme zeitnah aktualisiert werden. Wenn Sie noch keinen Service-Vertrag mit uns abgeschlossen haben, empfehlen wir ein regelmäßiges Monitoring Ihrer WordPress Webseiten und die anschließende Aktualisierung des CMS. Für unsere Kunden mit Service-Vertrag führen wir diesen Service automatisch regelmäßig durch. Sie sind so auf der sicheren Seite.

Sprechen Sie uns gerne auf ein Monitoring oder einen Service-Vertrag an.

Waren die Informationen zur WordPress Sicherheit und WordPress Update für Sie hilfreich? Wir freuen uns über ein Feedback zu diesem Artikel.

[Fotos von bongkarn thanyakij, Burst, Format von Pexels.]

 

Datenschutz
Wir, Simple Web-Solutions GmbH (Firmensitz: Deutschland), würden gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht uns aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
Datenschutz
Wir, Simple Web-Solutions GmbH (Firmensitz: Deutschland), würden gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht uns aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl: