Kritische Sicherheitslücke in Wordpress wurde ausgenutzt

Bei einem groß angelegten Angriff auf Websites, die das CMS Wordpress einsetzen, wurden mehrere zehntausend Webseiten weltweit gehackt. Bei den betroffenen Seiten wurde statt der normalen Seiteninhalte lediglich noch eine Nachricht angezeigt, die besagte, dass die betreffende Seite gehackt wurde. Prominentestes Opfer dieser Aktion war der Betriebssystemhersteller OpenSUSE - hier wurde jedoch schnell reagiert und die Seite wiederhergestellt.

Automatische Updatefunktion wird oft deaktiviert

Möglich wurde der Hack durch eine Sicherheitslücke, die durch ein Update Ende Januar geschlossen wurde. Laut Informationen von heise Security wurde diese Lücke jedoch absichtlich verschwiegen, um den Administratoren mehr Zeit zu geben, die Patches einzuspielen. Anscheinend wurde dies von den Webseitenbetreibern jedoch nicht schnell genug umgesetzt, so dass viele Webseiten ungepatcht und somit angreifbar blieben. Wordpress enthält zwar eine automatische Update-Funktion, diese wird jedoch von vielen Admins deaktiviert, um das Update zuerst einmal zu testen, bevor es in einer Live-Seite eingespielt wird

Sicherheitslücke in REST API verantwortlich

Die in Wordpress eingebaute REST API hatte laut den veröffentlichten Informationen eine gravierende, leicht auszunutzende Sicherheitslücke. Daurch konnte ein Angreifer Vollzugriff auf die Wordpress-Seite erlangen und so Inhalte ändern, löschen, oder Besucher auf Seiten umleiten, die Schadcode enthalten. Die REST API ist in Wordpress immer aktiv, und anscheinend gibt es keine Möglichtkeit, Wordpress so zu konfigurieren dass diese deaktiviert wird.

Mehr als 60.000 Seiten betroffen

Laut den veröffentlichten Informationen waren, bzw sind derzeit mehr als 60.000 mit Wordpress erstellte Webseiten von dem Hack betroffen. Deren Administratoren sollten nun so schnell wie möglich Ihre Seite wiederherstellen und das neueste Update einspielen.

Fazit:

Wer eine Wordpress Seite betreibt, sollte nun so schnell wie möglich die neueste Version 4.7.2 einspielen, um keine unliebsamen Überraschungen zu erleben. Außerdem empfiehlt es sich, sie automatische Update-Funktion zu aktivieren, um so immer auf dem neuesten Stand zu bleiben. Ist dies nicht möglich, z.B. wegen spezieller Plugins, sollte die Seite zumindest zeitnah geupdatet werden.

Quellen:
http://www.pcwelt.de/a/wordpress-luecke-tausende-websites-gehackt,3390176
https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/
https://www.heise.de/security/meldung/WordPress-4-7-2-Entwickler-verschweigen-kritische-Sicherheitsluecke-3616398.html

2017-02-08