Webhosting Deutschland - Mein Hosting PartnerWebhosting Deutschland - Mein Hosting PartnerWebhosting Deutschland - Mein Hosting PartnerWebhosting Deutschland - Mein Hosting Partner

WordPress SQL-Leck in Version 4.8.2

WordPress SQL-Leck in Version 4.8.2
MijnHostingPartner

WordPress SQL-Leck in Version 4.8.2

WordPress SQL-Lecks in Version 4.8.2

In der Version 4.8.2 von WordPress wurde eine Sicherheitslücke gefunden. Diese Sicherheitslücke ermöglicht eine SQL-Injection, die es Hackern erlaubt, Ihre gesamte Website zu übernehmen. Es ist daher wichtig, dass Sie Ihr Hosting auf die neueste WordPress-Version 4.8.3 aktualisieren. Die Aktualisierung von WordPress kann mit wenigen Klicks über das Admin-Panel durchgeführt werden, wenn Schreibrechte aktiviert sind. Für weitere Informationen können Sie auf den Link rechts klicken.

Am Dienstag, den 31. Oktober wurde ein Sicherheitsrelease für die Version 4.8.3 veröffentlicht. Mit dieser Version wird die Sicherheitslücke geschlossen, so dass sie nicht mehr ausgenutzt werden kann. Wenn ein Programmierfehler in einem Theme oder Plugin vorliegt, könnte es missbraucht werden.

WordPress und Sicherheit

WordPress-Hosting wird von einem großen Teil der Kunden von MijnHostingPartner.nl genutzt, weil das Content Management System (CMS) einfach zu bedienen und zu installieren ist. Seine Popularität macht ihn aber auch zu einem attraktiven Ziel für Hacker. Bei einem populären Open-Source- oder Free-to-Use-CMS arbeiten viele Programmierer zusammen, um das Endprodukt zu erstellen. Der Forscher, der das Leck gefunden hat, ist Anthony Ferrara, der es über die HackerOne Bug Bounty Plattform gemeldet hat. Ein Bug-Bounty-System wird von vielen Websites und Unternehmen wie Amazon und Netflix verwendet. Dies ist ein System, in dem Leute einen Fehler oder ein Leck melden können, das in ihrem Website-Hosting oder ihrer Anwendung gefunden wurde. Was das Unternehmen damit macht, hängt vom Unternehmen selbst ab.

Anthony Ferrara meldete das Leck am 20. September 2017 an das WordPress-Team. Danach wurde das Problem einige Wochen lang vom WordPress-Team ignoriert, und erst nachdem Anthony damit gedroht hatte, es öffentlich zu machen, wurde ihm die nötige Aufmerksamkeit zuteil. Der ursprüngliche Plan des WordPress-Teams war es, einen Hotfix zu veröffentlichen, allerdings würde dieser Hotfix schätzungsweise 1,2 Millionen Codezeilen zerstören. Daraufhin wurde nach langem Hin und Her am 31. Oktober 2017 der endgültige Fix veröffentlicht.

Was sollten wir davon mitnehmen?

Das Risiko, das bei Open-Source-Software in einer Größenordnung wie WordPress immer besteht, ist, dass Dinge wie diese passieren können. Besorgniserregend an diesem Leck war jedoch, dass es 5 Wochen lang nicht behoben wurde und somit 5 Wochen ~ 25% aller CMS-Seiten im Internet gefährdet waren. Das liegt daran, dass WordPress kein Vollzeit-Sicherheitsteam hat, um diese Art von Lecks zeitnah zu beheben. Anthony schließt den Bericht mit einem vorsichtigen, aber hoffnungsvollen Blick auf zukünftige Berichte.