WordPress bietet die Möglichkeit des automatischen Updates an. Es wird allenthalben empfohlen, dieses zu nutzen. Auch ich habe dies immer empfohlen. Dumm nur, wenn ausgerechnet das zum Einfallstor für Angriffe wird. Das jedenfalls hat ein Sicherheitsunternehmen festgestellt. Wenn das wirklich so war, war das eine ziemlich fatale Erkenntnis. 27% aller Webseiten weltweit waren potentiell betroffen, denn sie alle nutzen WordPress. Und all diese Seite konnten potentiell das automatische Update aktiv haben und gekapert werden. Irre, oder?
WordPress ist kaputt. Das ist die Erkenntnis, die dahintersteckt, wenn man sich vorstellt, dass das automatische Update des Content Management Systems eine schwer wiegende Sicherheitslücke aufwies. Die wurde von den Forschern bei WordFence aufgedeckt und an die WordPress-Organisation gemeldet. Zum Glück konnte diese Lücke dann innerhalb weniger Stunden geschlossen werden. Der PHP-Webhook bei WordPress hatte ein Problem beim Update-Mechanismus. Der soll eigentlich die Echtheit von Updates gewährleisten, allerdings konnte mittels Algorithmus die Echtheit vorgetäuscht werden. Grob gesagt.
Ausgelöst wird der fragliche Code durch ein Geheimnis und den Update-Daten. Und dieser Code konnte vorgetäuscht werden. Das ist deshalb problematisch, weil es die automatischen Updates von WordPress betraf. Und die sind standardmäßig bei allen Installationen erst einmal aktiv. Und wird der zentrale Update-Server mit Dingen wie diesen vorgetäuschten Codes kompromittiert, können eben gleich auf einen Schlag Millionen und Aber-Millionen von Webseiten gekapert werden. Das ist ein richtig großes Problem bei WordPress.
Die entdeckte Sicherheitslücke konnte glücklicherweise geschlossen werden. Und das sehr schnell. Allerdings bleibt das grundsätzliche Problem bestehen: der zentrale Update-Server. Mit einem kompromittierten Update-Server können zentral Webseiten in großer Anzahl attackiert werden. Über die automatischen Updates. Und es wird sich daran auch erst einmal nichts ändern. Denn den Machern von WordPress fehlt schlichtweg eine bessere Lösung. Nur was soll man dann als Nutzer von WordPress machen?
Entweder hofft man, dass nichts passieren wird, da durch die bekannt gewordene Sicherheitslücke der Update-Server besser überwacht wird. Oder man deaktiviert die automatischen Updates und installiert ausschließlich manuell und lässt vielleicht auch gleich Updates aus. Beides ist blöd. Und jetzt? Wie geht es weiter mit WordPress? Ein Bekannter hat mal gesagt, dass WordPress eigentlich eine Krankheit sei. Hoffen wir mal nicht, dass er Recht behält.
Hallo Henning,
das ist schon krass, dass es ausgerechnet WordPress betrifft, das wohl sicherste CMS der Welt oder täusche ich mich da :)
Ich habe auf etlichen Blogs WordFence installiert und auch Auto-Updates am Laufen und hoffe nun auch, dass nichts Böses passieren wird. WordFence als Sicherheitslösung ist sehr sehr gut und meldet alles aus den Unterverzeichnissen deiner Domain, wenn etwas nicht stimmt. Mit WordFence habe ich nun alle WP-Blogs von mir ausgestattet und denke, dass nun alles mehr oder weniger sicher sei.
Aber leider gibt es kein perfektes CMS und keine 100-prozentige Sicherheitslösung. Irgendetwas ist ja immer und sehr gut, dass die Lücke nun geschlossen wurde. Da immer mehr Neublogger sich für WP entscheiden, wird es immer wichtiger und ich betone bei meinen CMS-Update-Tutorien immer, datet eure CMS-Installation immer unmittelbar nach dem Erscheinen eines Updates up. Es ist extrem wichtig, ganz gleich wie klein oder unbedeutend ein Update erscheinen mag.
Hallo Alex,
es gibt kein Content Management System, das man als „das sicherste der Welt“ hinstellen kann. Es kommt immer darauf an, was die Webmaster daraus machen. Dazu gehört natürlich auch, dass Update zeitnah installiert werden. Aber es wirft schon blöde Gedanken auf, wenn man so mitbekommt, dass genau hier das Problem liegt. Ja, eine hundertprozentige Sicherheit gibt es nicht. Man kann sich ihr aber weitgehend nähern. Wenn man es konsequent macht.