WordPress 4.0.1 und weitere Sicherheitslücken - Pressengers
WPScan Vulnerability Database

WordPress 4.0.1 und weitere Sicherheitslücken

Share on Facebook0Tweet about this on Twitter5Share on Google+0Share on LinkedIn0Email this to someone

Bereits seit Donnerstag steht das Update zu WordPress 4.0.1 zum Download bereit. Wenn ihr noch alte Versionen von WordPress nutzt, ist jetzt der richtige Zeitpunkt für die Aktualisierung. Mit dem Sicherheits-Update wurden insgesamt acht Schwachstellen geschlossen, darunter auch drei XSS (cross site scripting) Lücken.

WPScan-Vulnberability-Database

wpvulndb.com: Eine Liste der bekannten Sicherheitslücken in WordPress-Themes und -Plugins.

WordPress 4.0.1

Im Idealfall habt ihr die automatische Aktualisierung von „minor Updates“ aktiviert, dann hat sich eure WordPress-Seite bereits selbst aktualisiert. Manuell installiert ihr das Update am besten über den Punkt „Aktualisierungen“ im Backend. Alternativ könnt ihr die Dateien auch von WordPress.org herunterladen.

Vorteile und Änderungen des WP 4.0.1. Updates:

  • Drei XSS-Lücken wurden geschlossen, über die Kommentatoren und Autoren Zugriff auf die Seite erlangen können
  • Passwort zurücksetzen-Links in E-Mails werden ungültig, wenn ihr euch wieder an das alte Passwort erinnert, in WP anmeldet und eure E-Mail-Adresse ändert
  • Ein mögliches DoS (Denial of Service) wenn das Passwort geprüft wird
  • Eine Lücke, über die eure User zum Ändern der Passwörter verleitet werden, wurde ebenfalls geschlossen
  • Erweiterter Schutz vor gefälschten HTTP-Server-Anfragen

Die Installation von WP 4.0.1 ist besonders für diejenigen zu empfehlen, die noch mit WordPress 3.9.2 oder älter arbeiten.

Weitere Sicherheitslücken in WordPress und Plugins

Allen Sicherheitsinteressierten bietet die englischsprachige Seite WPScan Vulnerability Database auf https://wpvulndb.com/ eine Übersicht der bekannten Sicherheitslücken in WordPress-Core, -Plugins und -Themes. Mit der Liste könnt ihr schnell abgleichen, ob ein von euch genutztes Plugin oder Theme eine bekannte Sicherheitslücke aufweist und ob bereits eine aktuellere Version verfügbar ist, die die Lücke schließt.


Hans Jung

Hans Jung

Hans ist Datenschutzbeauftragter und bekennender WordPress-Fan – und versucht beides unter einen Hut zu bekommen.
Hans Jung
Share on Facebook0Tweet about this on Twitter5Share on Google+0Share on LinkedIn0Email this to someone
Kommentare zu "WordPress 4.0.1 und weitere Sicherheitslücken"
  1. Daniel schrieb am 25. November 2014, um 12:12 Uhr:

    Auch in WordPress 4.0 scheint es noch etliche Sicherheitslücken zu geben! Mein Blog wurde vermutlich einer Sicherheitslücke Opfer! Nachzulesen unter http://www.abcd-web.de/wordpress-blog-gehackt-wordpress-researcher-plugin-als-backdoor-virus-trojaner/ . Wie gesagt ich hatte bereits 4.0 drauf trotzdem wurde ich HackingOpfer und der Hacker hatte sogar was da gelassen!

    1. Hans Jung schrieb am 25. November 2014, um 12:25 Uhr:

      Hallo Daniel,
      das passiert leider immer wieder. Du schreibst auf deinem Blog, das dich bei der Lösung mit einer .htaccess-Datei stört, dass mehrere Personen das selbe Passwort kennen. Aber du kannst in der zugehörigen .htpasswd mehrere User anlegen: Dafür einfach nur mehrere Logins in der Datei speichern – je Zeile einen User mit dem dazugehörigen (verschlüsselten) Passwort. Einfach geht’s mit diesem .htaccess-Generator: http://all-inkl.com/wichtig/htaccessgenerator/

  2. Alex L schrieb am 10. Dezember 2014, um 17:43 Uhr:

    Hallo Hans,
    ich habe mir das Update auch angetan und habe meine WordPress-Blogs binnen einiger Tage allesamt auf den neusten Stand gebracht. Sicher ist sicher und das muss man einfach machen.

    Ich finde es sehr gut, dass die WordPress Entwickler stets dran sind und uns Usern immer die Sicherheit anbieten. Aber schon heftig, dass man immer wieder Sicherheitslücken findet.

Schreibe einen Kommentar

Pressengers lebt von der Wordpress Community, beteilige dich mit einem Kommentar!
Deine E-Mail Adresse wird nicht veröffentlicht.

Achtung: Mit dem Absenden eines Kommentars erklärst du dich damit einverstanden, dass alle eingegebenen Daten und deine IP-Adresse zum Zweck der Spamvermeidung durch das Programm Akismet in den USA überprüft und gespeichert werden. Weitere Informationen zu Akismet und Möglichkeiten des Widerrufs..