19.06.2013
Blogging-Plattform
Sicherheitsleck bei Wordpress-Plug-ins
Autor: Michael Rupp
Foto: Wordpress
Eine Reihe von Erweiterungsmodulen zur Blogging-Plattform Wordpress weisen schwerwiegende Sicherheitslücken auf. Durch die fehlerhaften Plug-ins können betroffen Webseiten gehackt werden.
Erst kürzlich haben die Entwickler von Wordpress einige Hintertüren in der populären Blogging-Software geschlossen. Nun weist der Sicherheitsdienstleister Checkmarx auf eine Reiheneuer Schwachstellen in Wordpress hin. Die als kritisch bewerteten Sicherheitslücken betreffen allerdings nicht die Kern-Software von Wordpress, sondern Plug-ins, die von vielen Nutzern zur Funktionserweiterung eingesetzt werden. Mehrere Millionen Plug-in-Nutzer sollen betroffen sein.
Checkmarx hat die Sicherheit der 50 derzeit populärsten Plug-ins für Wordpress untersucht und das Ergebnis in einem Bericht (PDF-Datei) veröffentlicht. Bei insgesamt 18 Erweiterungsmodulen wurden Sicherheitslecks gefunden, durch die Dritte Angriffsmöglichkeiten auf die betreffenden Wordpress-Installationen haben und diese kompromittieren können. Die betroffenen Websites seien für Hacker ein leichtes Ziel, denn die unsicheren Plug-ins sollen sich bereits durch gängige Angriffsverfahren wie Cross-Site Scripting und SQL-Injection knacken lassen.
Ist eine Wordpress-Website über ein Plug-in einmal gehackt, lassen sich gespeicherte Daten stehlen, Informationen manipulieren oder die Webseite zur Verteilung von Malware präparieren. Welche Plug-ins konkret betroffen sind, verrät die Studie allerdings nicht. Die Namen der Module sind im Report geschwärzt.
Fazit
Wordpress kommt derzeit nicht aus den Negativschlagzeilen heraus, auch wenn die Wordpress-Entwickler in diesem Fall gar nicht für die Sicherheitslücken verantwortlich sind.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>