Der Gebrauch von Cookies erlaubt uns Ihre Erfahrung auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.

Erfahren Sie mehr

15.11.2018 Vorsicht: Sicherheitslücken bei WordPress

Symbolbild

Aktuell sind Wordpress-Seiten mehrfach in Gefahr. Im Umlauf befinden sich ein fehlerhaftes DSGVO-Plug-in sowie ein Online-Shop-Plug-in, die beide Admin-Rechte ermöglichen.

Das weltweit meistgenützte Content-Management-System (CMS) WordPress ist zurzeit mit Sicherheitslücken in zwei verschiedenen Zusatzmodulen konfrontiert. Das für Online-Shops genutzte Plug-in WooCommerce erlaubt es Kriminellen aufgrund diverser Schwachstellen, Admin-Accounts zu übernehmen und somit ganze Webseiten unter Kontrolle zu bringen. Das von vier Millionen Online-Shops eingesetzte Feature kann durch eine gezielte File-Deletion-Attacke (Datenlöschung) Angreiferinnen und Angreifern Zugriff auf Admin-Accounts gewähren. Zuerst werden die einschränkenden Filter eines Shop-Manager-Accounts durch Löschung der Dateien mittels File-Deletion-Attacke deaktiviert. In weiterer Folge können die Kriminellen Passwörter von Admin-Konten ändern und Zugriff auf Websites erhalten. Die Lücke beim WooCommerce-Plug-in wurde bereits im August gemeldet. Die entsprechenden Updates zur Behebung der Sicherheitslücke wurden nun veröffentlicht. Admins sollten daher überprüfen, ob zumindest die Version 3.4.6 installiert ist. 

Die zweite aktuelle Lücke betrifft das DSGVO-Plug-in (Datenschutz-Grundverordnung) „WP GDPR Compliance“. Eine fehlende Identitätsabfrage ermöglicht es Cyber-Kriminellen, Konten mit Administratorenrechten zu erstellen und so Schadsoftware auf den Webseiten zu installieren. Ebenfalls können durch die gestohlenen Admin-Rechte Zahlungsdaten, personenbezogene Daten und Passwörter abgefragt werden und gegebenenfalls sogar auf infizierte Datenbanken hochgeladen werden. Betroffen von den Sicherheitsschwachstellen sind die Versionen 1.4.2 und älter. Ein Patch zur Behebung wurde ebenfalls bereits veröffentlicht und sollte so schnell wie möglich von den Betroffenen installiert werden.

Weitere Informationen

Datum der Veröffentlichung: 15.11.2018

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria