Kritische Sicherheitslücke in WordPress-Plugins „WP Super Cache“ und „W3 Total Cache“

Erst vergangene Woche hatte ich ja einen Artikel darüber verfasst, dass derzeit vermehrt Angriffe auf WordPress-basierende Websites stattfinden.

Nun habe ich heute Nachmittag erfahren, dass in zwei sehr verbreiteten und bekannten WordPress-Plugins Sicherheitslücken gefunden wurden, die es einem versierten Hacker problemlos ermöglichen, sich in Ihre Website zu hacken.

Welche WordPress-Plugins sind von der Sicherheitslücke betroffen?

Es handelt sich um die beiden Caching-Plugins „W3 Total Cache“ und „WP Super Cache“, die beide durch Zwischenspeicherung von Seiten eine beschleunigte Darstellung der Webseiten versprechen, und damit insgesamt schnellere Ladezeiten auf Ihrer Website ermöglichen sollen.

Wer ist betroffen?

Die Sicherheitslücke scheint nur Websites bzw. Blogs zu betreffen, die den Besuchern das Hinterlassen von Kommentaren bzw. Eingaben (ggf. auch über Kontaktformulare) ermöglichen.

Wie können Sie diese Sicherheitslücke beseitigen?

Wenn Sie eines der beiden Plugins im Einsatz haben, und Eingaben (Kommentare, Formulare) auf Ihrer WordPress-Website möglich sind, oder Sie sich nicht sicher sind, aber auf Nummer sicher gehen wollen, dann gehen Sie wie folgt vor:

  1. Melden Sie sich als Administrator auf Ihrer Site an und deaktivieren Sie unter Plugins > Installierte Plugins das von Ihnen verwendete Plugin.
  2. Falls Sie das Plugin künftig nicht mehr nutzen möchten sind Sie jetzt fertig (optional können Sie das Plugin aber auch löschen). Ansonsten geht es weiter beim nächsten Punkt.
  3. Sichern Sie Ihre Site so bald wie möglich (das sollten Sie vor jedem WordPress-, Theme- oder Plugin-Update tun!) und aktualisieren Sie das Plugin auf die neueste Version.
  4. Reaktivieren Sie das Plugin, und geben Sie in einem Kommentarfeld folgendes ein:
    <!–mfunc echo PHP_VERSION; –><!–/mfunc–>
  5. Wenn Sie anschließend den Kommentar ansehen, und als Textanzeige eine Versionsnummer sehen (ähnlich dieser: 5.2.17), dann hat das Plugin noch immer die Sicherheitslücke – in dem Fall gilt: sofort wieder deaktiveren und auf den nächsten Plugin-Update warten.

Eine Bitte

Wenn Sie andere Leute kennen, die eine Website auf der Basis von WordPress betreiben, bitte ich höflichst um Weiterleitung dieser Information. Dafür schon vorab herzlichen Dank!

Franz X. Kohl
Über Franz X. Kohl 41 Artikel
Inhaber von F/X Web Consulting und Betreiber des Unternehmens-Blogs www.muenchen-webdesign.de

Ersten Kommentar schreiben

Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht.


Ich bin mit der Speicherung meiner Daten einverstanden

*