Die US-amerikanische IT-Spezialistin Yan Zhu, eine Mitarbeiterin der Electronic Frontier Foundation (EFF), hat eine schwerwiegende Sicherheitslücke in WordPress entdeckt: Beim Login wird nämlich ein Cookie mit dem Inhalt wordpress_logged_in unverschlüsselt an den sich anmeldenden Benutzer übermittelt. Dieser Cookie kann in nicht gesicherten Netzen abgefangen und weiter verwendet werden.
Er ermöglicht die Anmeldung am Blog ohne die Angabe weiterer Anmeldedaten, und da der Cookie auch dann nicht ungültig wird, wenn sich der rechtmäßige Benutzer wieder abmeldet, kann der Angreifer nach Herzenslust nahezu alle Funktionen benutzen. Er kann damit Beiträge und Seiten veröffentlichen und bearbeiten, Kommentare auf fremden Seiten posten, Blogstatistiken einsehen, er kann sogar die eMail-Adresse des Kontobesitzers ändern und vieles mehr.
Das Original-Passwort kann nach der Anmeldung über den Cookie zwar nicht geändert werden, aber der Angreifer könnte die 2-Faktor-Authentifizierung aktivieren und auf diesem Wege den rechtmäßigen Benutzer aussperren. Ebenso lässt sich der Zugang mit dem gekaperten Cookie erschleichen, selbst wenn die 2-Faktor-Authentifizierung bereits aktiv ist. Insgesamt bleibt der Cookie 3 Jahre lang gültig.
Ein Update für diese Sicherheitslücke ist erst mit der nächsten Version 4.0 von WordPress zu erwarten, deren Veröffentlichung für den 13. oder den 27. August vorgesehen ist. Bis dahin sollte man sich in öffentlichen, ungesicherten und/oder nicht vertrauenswürdigen Netzen nicht an seinem WordPress-Blog anmelden. Allerdings muss darauf hingewiesen werden, dass auch Provider oder Geheimdienste in vermeintlich sicheren Netzen die unverschlüsselten Cookies abfangen und wiederverwerten können.
Weitere, nur für technisch Interessierte verwertbare Informationen zur Absicherung von WordPress gibt Yan Zhu in ihrem Blog.