WordPress Update und WordPress Sicherheit

WordPress Update und WordPress Sicherheit

WordPress Update

Das regelmäßige WordPress Update ist entscheidend, um das bei Cyberkriminellen nach wie vor sehr beliebte Content Management System sicher zu halten. Simple Web-Solutions gibt Ihnen hier regelmäßig Informationen zu WordPress Updates und WordPress Sicherheitslücken.

Wichtige WordPress Updates und Informationen zur WordPress Sicherheit

Hackerangriffe nehmen rasant zu. Immer häufiger und in immer größerem Ausmaß werden auf veralteter Software basierende Websites angegriffen und gehackt. Viele kleine und mittelständische Unternehmen, Vereine, Freiberufler und Einzelunternehmer, die typischen WordPress-Kunden, sind nach wie vor viel zu leichtsinnig, wenn es um die Sicherheit Ihrer Systeme geht. Das Resultat sind Schadensfälle, die für betroffene Anbieter existenzbedrohend oder sogar unternehmenrisch existenzbeendend ausfallen können.

Was Sie aktuell tun müssen, um Ihr WordPress Content Management System sicher zu halten, erfahren Sie in diesem Artikel.

WordPress Plugin SiteKit dringend aktualisieren

Schon im Dezember 2018 brachte Google das WordPress Plugin SiteKit auf den Markt. Google wollte WordPress Nutzern die Gelegenheit bieten, die Webseite einfach mit Google-Diensten zu verzahnen.

Das etwas halbherzigen Projekte von Google verursacht wiedereinmal Sicherheitsprobleme. Viele Webseitenbetreiber, die WordPress nutzen, sind noch immer eher faul, wenn es um Aktualsierungen geht. Wir empfehlen Ihnen dringend ein Update, wenn sie SiteKit einsetzen, auf die aktuelle Version SiteKit 1.8.0.

Die aktuell offengelegte Sicherheitslücken die jetzt gepatcht wird, könnte dazu führen, dass Angreifer Zugriff auf eine Webseite in der Google Suchkonsole erhalten. Der Besitzerzugriff ermöglicht es Angreifern, Sitemaps zu ändern, Seiten aus dem Ranking der Suchmaschine Google (SERPs) zu löschen oder Black Hat SEO Kampagnen zu starten.

Wordfence

WordPress Sicherheit: Hacker haben versucht über 900.000 WordPress Websites anzugreifen

Eine Hacker-Gruppe hat in der ersten Mai-Woche 2020 versucht, fast eine Million WordPress-Websites anzugreifen. Eine Sicherheitswarnung der Cyber-Sicherheitsfirma Wordfence wurde hierzu veröffentlicht- Massive Hacking-Operationen verursachten demnach extrem auffällige Spitzen im Datenverkehr.

Laut der Information von Wordfence hat eine Gruppe von Hackern seit dem 28. April eine Hacking-Kampagne von massiven Ausmaßen gestartet. Ram Gall, QS-Ingenieur bei Wordfence, informierte zu den Beobachtungen des Unternehmens. Die Bedrohungsakteur hätten in der Vergangenheit möglicherweise eine kleinere Anzahl von Angriffen gesendet. Jetzt seien die Angreifer allerdings deutlich aktiver geworden.

Die Angriffe gingen nach Angaben von Wordfence von mehr als 24.000 unterschidlichen IP-Adressen aus und erreichten ihren Höhepunkt am Sonntag, dem 3. Mai. Die Hacker starteten an dem Tag mehr als 20 Millionen Angriffe gegen eine halbe Million Domains.

Ram Gall sagte dazu, dass die Gruppe in erster Linie Cross-Site Scripting (XSS) Schwachstellen ausnutzte, um bösartigen JavaScript-Code auf den angegriffenen Websites zu implementieren. Der eingehenden Datenverkehr sollte so auf schädliche Websites umgeleitet werden.

Der Schadcode scannte auch Besucher der betroffenen Websites nach angemeldeten Administratoren und versuchte dann, die Erstellung von Backdoor-Konten über die ahnungslosen Admin-Benutzer zu automatisieren. Nach Informationen von Wordfence nutzten die Hacker ein breites Spektrum von Schwachstellen für ihre Angriffe sowie diverse Techniken.

  • eine XSS-Schwachstelle im Easy2Map-Plugin, die im August 2019 aus dem WordPress-Plugin-Repository entfernt wurde. Diese Sicherheitslücke war für mehr als die Hälfte der Angriffe verantwortlich, obwohl das Plugin auf weniger als 3.000 WordPress Websites installiert wurde.
  • eine XSS-Schwachstelle im Blog-Designer, die 2019 gepatcht wurde. Wordfence sagt hierzu, dass dieses Plugin von ca. 1.000 Websites verwendet wird, und dass diese Schwachstelle auch das Ziel anderer Kampagnen war.
  • eine Optionsupdate-Schwachstelle in WP DSGVO-Compliance, die Ende 2018 gepatcht wurde. Die Angreifer hatten hier die Chance, die Home-URL der Website sowie weitere Optionen zu ändern. Dieses Plugin wurde über 100.000 mal installiert. Nach Schätzungen von Wordfence sind nicht mehr als 5.000 anfällige Installationen noch aktiv.
  • eine Update-Option in Total Donations, die es den Angreifern ermöglichte, die Home-URL der Website zu ändern. Dieses Plugin wurde bereits Anfang 2019 dauerhaft aus dem Envato Marketplace entfernt. Wordfence geht von weniger als 1.000 aktuellen Gesamtinstallationen aus.
  • eine XSS-Schwachstelle im Newspaper Theme, die 2016 gepatcht wurde. Diese Sicherheitslücke wurde in der Vergangenheit bereits mehrfach angegeriffen.

Wordfence warnt vor Bedrohung

Wordfence warnt Webseitenbetreiber eindringlich davor, dass die Angriffe ausgeklügelt genug sind, um neue Exploits zu entwickeln, die sich zukünftig wahrscheinlich auch auf andere Sicherheitslücken konzentrieren.

Betreibern von WordPress-Websites empfiehlt Wordfence, Themen und Plugins, die auf ihren Websites installiert sind, dringend zu aktualisieren. Optional kann eine Website Application Firewall (WAF) Plugin installiert werden, um Angriffe zu blockieren.

Simple Web-Solutions empfiehlt ein regelmäßiges Monitoring Ihres WordPress CMS sowie Updates umgehend durchzuführen. Sprechen Sie uns an. Wir bieten Ihnen auch gerne einen Service-Vertrag für Ihr WordPress CMS an.

Informationen zu den Themen Sicherheit und Hackerangriffe haben wir in einem Whitepaper leicht verständlich zusammengestellt. Sie können das Whitepaper hier anfordern.

Mehr Informationen zum Sicherheitshinweis bei ZDNet

WordPress Sicherheit

WordPress Update auf Version 5.4.1

Für das Content Management System (CMS) WordPress gibt es ein wichtiges Update. Das WordPress Update auf Version 5.4.1 bringt neben Bug- auch einige Security-Fixes mit.

WordPress Update - neue Version mit deutlichen Verbesserungen in der Sicherheit

Für das beliebte Content Management System (CMS) WordPress steht seit Anfang Mai 2020 das Update auf Version 5.4.1 bereit. Das aktuelle WordPress Update beseitigt sieben potenziell von Hackern ausnutzbare Schwachstellen in der Software.

Unter anderem löst das Aktualisieren der Software folgende Probleme:

  • Beseitigung von Schwachstellen im Cross-Site-Scripting (XSS)
  • Update einer Möglichkeit des unbefugten Zugriffs auf bestimmte private Posts
  • ein Problem mit Tokens für den Passwort-Reset, die nach dem Gebrauch bislang nicht in der erforderlichen Weise ungültig gemacht wurden

Details zu den Sicherheitsverbesserungen sowie auch zu den Wartungs-Updates finden Sie hier.

Betroffen Sind von den Sicherheitsproblemen alle WordPress-Versionen bis einschließlich 5.4.  Eine Ausnahme bildet eine einzelne XSS-Schwachstelle, die sich auf Version 5.4 RC1/RC2 beschränkte und in RC5 gefixt wurde.

Sofern noch nicht geschehen, sollten WordPress-Systeme zeitnah aktualisiert werden. Wenn Sie noch keinen Service-Vertrag mit uns abgeschlossen haben, empfehlen wir ein regelmäßiges Monitoring Ihrer WordPress Webseiten und die anschließende Aktualisierung des CMS. Für unsere Kunden mit Service-Vertrag führen wir diesen Service automatisch regelmäßig durch. Sie sind so auf der sicheren Seite.

Sprechen Sie uns gerne auf ein Monitoring oder einen Service-Vertrag an.

Waren die Informationen zur WordPress Sicherheit und WordPress Update für Sie hilfreich? Wir freuen uns über ein Feedback zu diesem Artikel.

[Fotos von bongkarn thanyakij, Burst, Format von Pexels.]