23.01.2018 Überprüfung von Sicherheitslücken in WordPress und dessen Plugins

Symbolbild

Das weitverbreitete Content-Management-System WordPress und populäre Plugins wurden auf Sicherheitslücken überprüft. Die FH JOANNEUM hat die Ergebnisse dieser Tests analysiert.

Aktuell werden rund 27 Prozent aller Webseiten weltweit mit dem Content-Management-System WordPress betrieben. Oftmals werden die Grundfunktionalitäten von WordPress mit Hilfe von Plugins erweitert. Im August 2017 wurde WordPress und die 50 am häufigsten heruntergeladenen Plugins automatisiert auf Sicherheitslücken überprüft. Für diese Untersuchungen wurden die Tools Acunetix (Web Vulnerability Scanner), ZAP - OWASP Zed Attack Proxy (Web Vulnerability Scanner), Sparrow on the cloud (statische Code Analyse) und WPScan (Abgleich WPScan Vulnerability Database) eingesetzt. Eine manuelle Verifizierung hat nicht stattgefunden.  

Die Resultate der Untersuchungen zeigen, dass es für WordPress und jedes getestete Plugin zumindest eine Sicherheitsempfehlung gibt. Diese kann das Senden bestimmter http-Headers (z.B. X-Content-Type Headers und X-Frame-Options Headers) betreffen oder auch ein Hinweis auf die Existenz einer schwerwiegenden Sicherheitslücke, wie Injections oder Cross Site Scripting (XSS), sein. XSS wurde von drei der vier eingesetzten Tools festgestellt, während die Hinweise auf Injections nur von ZAP und Sparrow on the cloud erkannt wurden. 

Insgesamt wurden 13.070 sicherheitskritische Schwachstellen festgestellt, wobei die Verteilung der Schwachstellen sehr unterschiedlich ist. Es gibt vier Plugins (Jetpack, WooCommerce, Google XML Sitemaps und Limit Login Attempts), die jeweils mehr als 1.600 Schwachstellen aufweisen, während die restlichen Plugins alle jeweils weniger als 300 Sicherheitslücken aufweisen. Bei den beiden Plugins Akismet und WordPress Importer wurden jeweils weniger als fünf Möglichkeiten zur Verbesserung der Sicherheit festgestellt. Im Durchschnitt wurden 261,4 Schwachstellen pro getesteten Plugin entdeckt. 

Folgende Arten an Sicherheitslücken wurden, zusammengefasst über alle eingesetzten Tools und Untersuchungen, am häufigsten festgestellt:

Tabelle der gefundenen Sicherheitslücken Bild vergrößern

 Eine zusätzliche Suche in der WPScan Vulnerability Database offenbarte, dass in der Vergangenheit zu 19 der 50 untersuchten Plugins in unterschiedlichen Versionen zumindest eine Sicherheitslücke dokumentiert wurde. Auch für WordPress gibt es für nahezu jede Version mehrere gespeicherte sicherheitskritische Schwachstellen in der Datenbank. Einige dieser Einträge sind aus dem Jahr 2014, während andere erst wenige Wochen alt sind. Oftmals ist von einer Sicherheitslücke nicht eine einzelne Version eines Plugins oder von WordPress betroffen, sondern zumeist werden diese in einer Version entdeckt, aber existierten tatsächlich schon mehrere Versionen lang. So existierten bei WordPress gefährliche Schwachstellen seit dem Jahr 2007 (Version 2.3). Diese wurden erst im Jahr 2017 entdeckt und beseitigt (Version 4.7.5). Dies zeigt, dass laufende Updates zwingend erforderlich sind, um bekanntgewordene Sicherheitslücken zu schließen. 

Zusammenfassend kann festgehalten werden, dass Sicherheitslücken in WordPress und dessen Plugins durchaus vorhanden sind. Dass WordPress teils sehr kritische Sicherheitslücken aufweist und in der Vergangenheit oftmals schwerwiegende Schwachstellen bekannt geworden sind, ist besonders kritisch, da WordPress die Basis ist, auf der die gesamte Website aufbaut. Regelmäßige Updates zur Beseitigung von Sicherheitslücken können von WordPress automatisch ausgeführt werden. 

Autoren

  • Christian Finker, FH JOANNEUM
  • Franz Niederl, FH JOANNEUM

Datum der Veröffentlichung: 23.01.2018

Für den Inhalt verantwortlich:
  • FH JOANNEUM