Plugin-Bug: 200.000 WordPress-Seiten können einfach gelöscht werden
Falls in den kommenden Tagen diverse Webseiten einfach mal leer sind, könnte das an einem Sicherheitsproblem beim Content-Management-System (CMS) WordPress liegen. Hier haben sich viele Betreiber ein großes Problem per Plugin ins Haus geholt.
Die Nutzer des CMS' sollten aktuell unbedingt Updates ihrer Plugin-Sammlung durchführen. Das gilt insbesondere, wenn Erweiterungen des kommerziellen Design-Anbieters ThemeGrill zum Einsatz kommen. Dieser hat seinen Demo Importer mit einer schwerwiegenden Sicherheitslücke ausgeliefert. Durch diese können Angreifer dafür sorgen, dass sämtliche Inhalte von einer Seite gelöscht werden - wohl dem, der dann zumindest über ein Backup der Datenbank verfügt.
Das fragliche Plugin sorgt dafür, dass Betreiber von Webseiten Inhalte erst einmal testweise in das Design ihrer WordPress-Installation laden können. Das soll sicherstellen, dass es nicht zu Konflikten zwischen dem jeweiligen Theme und dem Content kommt. Diese Funktion ist recht beliebt und so sollen über 200.000 Seiten mit dem Plugin arbeiten.
Bugs dieser Art können schnell zu massiven Problemen führen. Denn WordPress ist das mit Abstand am weitesten verbreitete CMS. Unter den eine Million größten Webseiten weltweit werden rund ein Drittel auf Basis dieser Software gepflegt. Bei den zahlreichen kleineren Webseiten dürfte der Anteil sogar noch höher liegen.
Siehe auch: Fast allgegenwärtig: WordPress treibt ein Viertel des ganzen Webs an
Download WordPress - Kostenlose Blogging-Software
Das fragliche Plugin sorgt dafür, dass Betreiber von Webseiten Inhalte erst einmal testweise in das Design ihrer WordPress-Installation laden können. Das soll sicherstellen, dass es nicht zu Konflikten zwischen dem jeweiligen Theme und dem Content kommt. Diese Funktion ist recht beliebt und so sollen über 200.000 Seiten mit dem Plugin arbeiten.
Übernahme möglich
Das Löschen aller Inhalte ist dabei recht einfach möglich, wenn die entsprechende Funktion von Außen angestoßen wird. Der jeweilige Angreifer bekommt im Zuge dessen auch weitergehende Zugriffe auf die WordPress-Installation, wenn der beim Start vorhandene Nutzer namens "admin" noch vorhanden ist. Entdeckt wurde das Problem von Sicherheitsforschern bei WebARX, die den Plugin-Hersteller kontaktierten. Nach den bisherigen Erkenntnissen sind die Demo Importer-Versionen von 1.3.4 bis 1.6.1 betroffen. Ein korrigiertes Update steht bereits zur Verfügung.Bugs dieser Art können schnell zu massiven Problemen führen. Denn WordPress ist das mit Abstand am weitesten verbreitete CMS. Unter den eine Million größten Webseiten weltweit werden rund ein Drittel auf Basis dieser Software gepflegt. Bei den zahlreichen kleineren Webseiten dürfte der Anteil sogar noch höher liegen.
Siehe auch: Fast allgegenwärtig: WordPress treibt ein Viertel des ganzen Webs an
Download WordPress - Kostenlose Blogging-Software
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon