Schwachstelle in Wordpress-Plugin

Google Analytics Count Tracker erlaubt Code injection

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Wordpress und seine Plugins sind regelmäßig im Visier von Kriminellen. Aktuell trifft es ein Plugin, mit dem Google Analytics integriert wird.
Wordpress und seine Plugins sind regelmäßig im Visier von Kriminellen. Aktuell trifft es ein Plugin, mit dem Google Analytics integriert wird. (Bild: Unsplash Pexels Lee Key / CC0)

Wordpress-Nutzer, aufgepasst. Wer für die Integration von Google Analytics das Count Tracker Plugin verwendet, sollte umgehend updaten. Alte Versionen enthalten eine Sicherheitslücke, über die sich PHP Code ausführen lässt.

Wer das Wordpress Plugin Google Analytics Count Tracker auf seiner Webseite nutzt, der sollte schnellstmöglich auf die Version 3.5.1 oder höher aktualisieren. Sicherheitsexperten fanden im Rahmen des Summer of Pwnage eine Schwachstelle, über die sich beliebiger PHP Code auf dem Server ausführen lässt.

Das Plugin kommt nicht direkt von Google, sondern von Drittentwicklern, es ist allerdings bei WordPress-Nutzern relativ populär und laut dem offiziellen Plugin-Verzeichnis auf mehr als 40 000 Webseiten installiert. Die Schwachstelle entsteht durch einen unsicheren Call in der Methode processRequest(). Diese nimmt Eingaben direkt aus einem Cookie entgegen, der sich wiederum vom Angreifer anpassen lässt.

Wordpress-Sicherheit: Summe der Einzelteile

Die Schwachstelle ist ein gutes Beispiel für die Herausforderung, die die Absicherung einer Wordpress-Umgebung darstellt. Das Blog-System und CMS hat eine sensationelle Verbreitung, laut einer Studie von W3Techs betreibt es aktuell über 50 Prozent aller Webseiten, die ein CMS nutzen. Anwender und Entwickler schätzen die Flexibilität und die zahllosen Plugins.

Genau hier ist aber das Problem. Wordpress ist dank seiner weiten Verbreitung nicht nur bei Nutzern, sondern auch bei Kriminellen beliebt. Die Betreiber der Webseite müssen nicht nur das Kernsystem aktuell halten – dank manueller Änderungen wird jedes Update zum Risiko – sondern sich auch um alle installierten Plugins kümmern.

Wie sehen Sie als Leser die Sicherheit von Wordpress? Nutzen Sie das System auf Ihren Webseiten und wenn ja, wie sichern Sie sich gegen Angreifer?

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44435679 / Sicherheitslücken)