2076350

Sicherheitslücke in WordPress-Standard-Theme

07.05.2015 | 17:03 Uhr |

Im WordPress-Theme Twenty Fifteen klaffte heute eine Sicherheitslücke, mit der Angreifer Websites übernehmen konnten.

In der Blog-Software WordPress klaffte in dieser Woche wieder eine Sicherheitslücke, die Millionen von Websites gefährdete. Dabei handelt es sich um eine so genannte Cross-Site-Scripting-Lücke (XSS). Darüber können Hacker Informationen aus einem nicht-vertrauenswürdigen Kontext in einen anderen Kontext einfügen und sie somit als vertrauenswürdig einstufen. Aus dieser vertrauenswürdigen Einstufung kann dann ein Angriff gestartet und die betroffene Website übernommen werden. Den Angaben zufolge wurde das Leck bereits aktiv ausgenutzt.

Von der Lücke betroffen waren das Plugin Jetpack und das Seiten-Theme Twenty Fifteen, das von Wordpress automatisch installiert wird. Ist das Theme deaktiviert oder wird vom Website-Betreiber nicht genutzt, kann es ihm trotzdem gefährlich werden. Als vorübergehende Lösung wurde die Deinstallation oder das Löschen der Datei genericons/example.html im Twenty-Fifteen-Ordner empfohlen. Mittlerweile steht Twenty Fifteen in einer aktualisierten Version zum Download bereit. Website-Betreiber sollten das Update umgehend über den WordPress-Admin installieren.

WordPress 4.2 mit Press This-Button veröffentlicht

In der Jetpack-Version 3.5.3 wurde die Sicherheitslücke inzwischen ebenfalls ausgemerzt. Auch hier empfiehlt sich die umgehende Installation, um WordPress-Sites vor Angreifern zu schützen.

0 Kommentare zu diesem Artikel
2076350