Stored XSS-Sicherheitslücke in der aktuellen WordPress-Version 4.2 [UPDATE]

Erst vor wenigen Tagen wurde die neue Version 4.2 von WordPress veröffentlicht, da wurde gestern die nächste große Sicherheitslücke bekannt: Eine schon länger bekannte Stored Cross-Site Scripting-Lücke ermöglicht es einem Angreifer unter Umständen, mittels JavaScript in einem Nutzer-Kommentar den Admin-Account und damit die ganze Webseite zu kapern.

Sicherheitslücke in WordPress betrifft zahlreiche Plug-ins

Eine weitere Sicherheitslücke, diesmal in WordPress selber, hat zu einer Cross-Site-Scripting-Lücke (XSS) in zahlreichen WordPress-Plug-ins geführt. Sie wurde von der Sicherheitsfirma Sucuri entdeckt; diese hat auch eine Liste der betroffenen Plug-ins veröffentlicht.

Kritische Sicherheitslücke in beliebtem WordPress-Plug-in

Eine kritische Sicherheitslücke im Plugin WordPress SEO by Yoast bedroht unzählige unter WordPress laufende Webseiten. „SEO by Yoast“ ist eines der beliebtesten WordPress-Plug-ins zur Suchmaschinenoptimierung (Search Engine Optimization = SEO) und mit über 16 Millionen Downloads eines der beliebtesten WordPress-Plug-ins überhaupt.

WordPress ist durch ein unverschlüsseltes Cookie angreifbar

Die US-amerikanische IT-Spezialistin Yan Zhu, eine Mitarbeiterin der Electronic Frontier Foundation (EFF), hat eine schwerwiegende Sicherheitslücke in WordPress entdeckt: Beim Login wird nämlich ein Cookie mit dem Inhalt wordpress_logged_in unverschlüsselt an den sich anmeldenden Benutzer übermittelt. Dieser Cookie kann in nicht gesicherten Netzen abgefangen und weiter verwendet werden.

Liste typischer Angriffe auf WordPress

Ein auführlicher Artikel auf HackerTarget (in englischer Sprache) beschreibt gängige Techniken, welche die „bösen Buben“ für den Angriff auf WordPress-Installationen und den darunter liegenden Server nutzen. Aber keine Panik! Hier werden keine dunklen Geheimnisse verraten, sondern lediglich bekannnte Schwachstellen veröffentlicht. Außerdem liefert der Artikel einige Lösungsansätze, um derlei Angriffe zu verhindern oder wenigstens zu erschweren.

Botnetz greift PHP-basierte Webseiten an

Wie die rennomierte Sicherheitsfirma TrendMicro in ihrem Security Intelligence Blog berichtet, greift ein Spam-Botnetz namens Stealrat zurzeit Webseiten an, die unter PHP-basierten Blog- und CMS-Systemen wie z.B. Drupal, Joomla, und WordPress laufen. Dem Vernehmen nach wurden bereits Tausende von Webseiten kompromittiert.