Sicherheitslücke in Statistik-Plugin

Plugins machen Wordpress angreifbar

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Plugins können Lücken in Wordpress reißen und das komplette System für Angreifer öffnen.
Plugins können Lücken in Wordpress reißen und das komplette System für Angreifer öffnen. (Bild: Wordpress)

Eine kritische Schwachstelle im WP Statistics Plugin öffnet Wordpress-Installationen für Angreifer. Betroffen sind zwar vergleichsweise wenige Installationen, allerdings zeigt die Lücke, wie viel Gefahr von Plugins ausgehen kann.

Die Sicherheitsforscher von Sucuri haben eine kritische Lücke in WP Statistics gefunden, einem Analysetool, das auf knapp 300 000 Wordpress-Installationen läuft. Das ist tatsächlich nicht viel, immerhin setzen etwa 25 Prozent aller Seiten weltweit das CMS ein. Allerdings zeigt es sehr gut, wo das Problem in Wordpress steckt. Verwundbar ist oft nicht das System selbst, oft werden kritische Schwachstellen über Fehler in Plugins eingeschleppt.

Das ist kein Wunder. Die Plugins machen es so angenehm einfach, Wordpress richtig einzurichten, anzupassen und mit neuen Funktionen auszustatten. Auswertungstools, bessere Bilderstrecken, datenschutzkonforme Social Media Plugins, E-Mail-Newsletter oder sonstige Features – mit einem Klick kann man neue Funktionen nachrüsten. So sammeln sich allerdings schnell zahlreiche Erweiterungen an. Zwar lässt sich jeder Erweiterung mit einem Klick aktualisieren. Ähnlich wie bei Wordpress selbst ist es aber im kommerziellen Umfeld nicht einfach. Updates und Patches müssen getestet werden, gerade wenn manuelle Anpassungen vorgenommen werden. Mit jedem Plugin erhöht sich diese Arbeit exponentiell.

24 Lücken in populären Wordpress-Plugins

Summer of Pwnage findet Schwachstellen in Erweiterungen und Themes

24 Lücken in populären Wordpress-Plugins

01.03.17 - Sicherheitsexperten haben sich populäre Plugins und Themes für Wordpress vorgenommen und diese im Rahmen des Summer of Pwnage auf Schwachstellen abgeklopft. Dabei wurden sie schnell fünding. In 24 Erweiterungen stecken Fehler, einige erlauben sogar den Zugriff auf die Wordpress-Installation. lesen

Sicherheitstipps für Wordpress

Wordpress-Installationen lassen sich dennoch auch sicher betreiben, allerdings muss man einige Punkte beachten.

  • Weniger ist mehr: Je weniger Plugins und je weniger Anpassungen vorgenommen werden, desto einfacher ist die Aktualisierung. Es lohnt sich durchaus, regelmäßig auszumisten und nicht mehr benötigte Plugins zu deaktivieren.
  • Updates zügig installieren. Je schneller Sicherheitslücken geschlossen werden, desto geringer ist die Angriffsfläche. Gerade bei Fehlern in populären Plugins machen sich automatisierte Scanner- und Angriffstools ans Werk und suchen großflächig nach anfälligen Installationen.
  • Rollenverteilung nutzen. Nicht jeder Nutzer muss Admin-Rechte haben. Idealerweise sollte der Admin-Account nicht selbst aktiv schreiben, ein extrem starkes Kennwort sowie eine 2-Faktor-Authentifizierung nutzen.
  • Nur aus bekannter Quelle installieren. Premium-Plugins gibt es nicht kostenlos. Wer Erweiterungen aus unbekannten Quellen installiert, fordert eine Attacke geradezu heraus.
  • Pflege beachten. Wird ein Plugin nicht mehr gepflegt und weiterentwickelt, kann es langfristig zu Problemen kommen. Gefundene Lücken werden nicht mehr gepatcht, Nutzer sind entsprechend in Gefahr.

Es macht Sinn, die Sicherheitslücken in Auge zu behalten. Die Webseite der WPScan Vulnerability Database gibt einen guten Überblick, sie erlaubt zudem das Einrichten von E-Mail-Alarmen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44782570 / Sicherheitslücken)