Auf WordPress Nutzer kommt wieder etwas Arbeit zu. Für das System selbst gibt es mit der Version 4.1.2 ein kritisches Sicherheitsupdate das so schnell wie möglich installiert werden sollte. Alle Versionen davor sind von einer Cross-Site Scripting Lücke betroffen, die es möglich macht, ohne Zugriffsrechte die Seiten zu kompromittieren. Es gibt keine wesentlichen Funktionsänderungen, daher sollte es beim Update keine Probleme geben.
XSS-Lücken auch bei vielen Plugins
Neben dem Update des WordPress-Systems selbst gibt es die XS Lücke leider auch in vielen Plugins. Auch einige extrem beliebte Plugins sind betroffen.
Bisher sind folgende betroffene Plugins bekannt:
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Multiple iThemes products including Builder and Exchange
- Broken-Link-Checker
- Ninja Forms
Wer die Plugins im Einsatz hat, sollte sie so schnell wie möglich auf den neusten Stand bringen. Falls keine neue Version verfügbar ist, empfiehlt es sich die Plugins sicherheitshalber zu deaktivieren, bis die Lücke geschlossen wurde.
Schon gemacht. Aber danke für diesen tollen Beitrag. Die Updates sind wirklich wichtig für jeden der WP verwendet.
In letzter Zeit häufen sich die Sicherheitspatches für WordPress 🙂 Gerade nach diesem Fall und dem Erscheinen der Version 4.2 folgten weitere Sicherheitsfixes innerhalb weniger Tage. Einerseits natürlich gut, dass vom EordPress Team da so schnell mit entsprechenden Patches reagiert wird, andererseits natürlich ein riesiger Aufwand für Webmaster, die mehrere WordPress Webseiten betreiben.
Aber natürlich geht Sicherheit vor! Hoffen wir, dass es nun wieder ruhiger wird.