Suchen

Schwachstelle in Wordpress-Plugin Google Analytics Count Tracker erlaubt Code injection

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Wordpress-Nutzer, aufgepasst. Wer für die Integration von Google Analytics das Count Tracker Plugin verwendet, sollte umgehend updaten. Alte Versionen enthalten eine Sicherheitslücke, über die sich PHP Code ausführen lässt.

Wordpress und seine Plugins sind regelmäßig im Visier von Kriminellen. Aktuell trifft es ein Plugin, mit dem Google Analytics integriert wird.
Wordpress und seine Plugins sind regelmäßig im Visier von Kriminellen. Aktuell trifft es ein Plugin, mit dem Google Analytics integriert wird.
(Bild: Unsplash Pexels Lee Key / CC0 )

Wer das Wordpress Plugin Google Analytics Count Tracker auf seiner Webseite nutzt, der sollte schnellstmöglich auf die Version 3.5.1 oder höher aktualisieren. Sicherheitsexperten fanden im Rahmen des Summer of Pwnage eine Schwachstelle, über die sich beliebiger PHP Code auf dem Server ausführen lässt.

Das Plugin kommt nicht direkt von Google, sondern von Drittentwicklern, es ist allerdings bei WordPress-Nutzern relativ populär und laut dem offiziellen Plugin-Verzeichnis auf mehr als 40 000 Webseiten installiert. Die Schwachstelle entsteht durch einen unsicheren Call in der Methode processRequest(). Diese nimmt Eingaben direkt aus einem Cookie entgegen, der sich wiederum vom Angreifer anpassen lässt.

Wordpress-Sicherheit: Summe der Einzelteile

Die Schwachstelle ist ein gutes Beispiel für die Herausforderung, die die Absicherung einer Wordpress-Umgebung darstellt. Das Blog-System und CMS hat eine sensationelle Verbreitung, laut einer Studie von W3Techs betreibt es aktuell über 50 Prozent aller Webseiten, die ein CMS nutzen. Anwender und Entwickler schätzen die Flexibilität und die zahllosen Plugins.

Genau hier ist aber das Problem. Wordpress ist dank seiner weiten Verbreitung nicht nur bei Nutzern, sondern auch bei Kriminellen beliebt. Die Betreiber der Webseite müssen nicht nur das Kernsystem aktuell halten – dank manueller Änderungen wird jedes Update zum Risiko – sondern sich auch um alle installierten Plugins kümmern.

Wie sehen Sie als Leser die Sicherheit von Wordpress? Nutzen Sie das System auf Ihren Webseiten und wenn ja, wie sichern Sie sich gegen Angreifer?

(ID:44435679)

Über den Autor

 Moritz Jäger

Moritz Jäger

IT Journalist