Start Empfohlen So überprüfen Sie, ob Sie für den WordPress-Fehler anfällig sind

So überprüfen Sie, ob Sie für den WordPress-Fehler anfällig sind

83
0


Versteckte Sicherheitsbedrohung

Am 20. November WordPress angekündigt eine kritische Cross-Site-Scripting-Schwachstelle im populärsten und am weitesten verbreiteten Content-Management-System des Internets. Die ursprünglich von Jouko Pynnonen beim finnischen IT-Unternehmen Klikki Oy entdeckte Schwachstelle könnte es anonymen Benutzern ermöglichen, Websites zu kompromittieren, auf denen WordPress-Versionen vor Version 3.9.3 ausgeführt werden.

Dies ist eine äußerst schwerwiegende Schwachstelle, da sie Millionen von Websites im Internet betrifft und es einem anonymen Benutzer ermöglichen könnte, die vollständige administrative Kontrolle über diese Websites und möglicherweise das zugrunde liegende Betriebssystem zu erlangen. Laut WordPress-Statistik nutzten zum 20. November 2014 etwa 86 Prozent aller WordPress-Sites eine angreifbare Version. Ausgenutzte Sites könnten dann für Angriffe auf andere Benutzer verwendet werden, oder wenn das Betriebssystem kompromittiert wird, könnte die Maschine als Teil verwendet werden eines Botnetzes. Berichte weisen darauf hin, dass diese Sicherheitsanfälligkeit aktiv ausgenutzt wird und dass Exploit-Code im Internet für andere Benutzer zur Verfügung gestellt und geändert werden kann.

Technische Details

Der primäre Angriffsvektor für diese Sicherheitsanfälligkeit besteht darin, bestimmten Textfeldern, insbesondere Kommentarfeldern in WordPress-Posts und -Blogs, bösartiges JavaScript hinzuzufügen. Das bösartige JavaScript wird dann ausgelöst, wenn ein Benutzer den Kommentar anzeigt, sei es über einen Blogbeitrag, eine Seite oder im Abschnitt „Kommentar“ des Verwaltungs-Dashboards. Das JavaScript wird mit denselben Berechtigungen ausgeführt wie der Benutzer, der es ausgelöst hat. Daher ist das wirkungsvollste Szenario, wenn der Kommentar vom Site-Administrator angezeigt wird.

Die Schwachstelle wird über eine Textformatierungsfunktion namens wptexturize() eingeführt. Diese Funktion ist standardmäßig aktiviert und wird von WordPress verwendet, um gepostete Texte oder Kommentare zu ändern, um eine lesbarere und optisch ansprechendere Ausgabe zu präsentieren. Der Texturierungsprozess kann jedoch unterlaufen werden, indem dem Kommentar eine speziell gestaltete Mischung aus Quadraten und Winkeln hinzugefügt wird.

Sind Sie verletzlich?

Woher wissen Sie also, ob Sie von dieser Sicherheitsanfälligkeit betroffen sind? Die WordPress-Version Ihrer Website sollte im administrativen Bereich je nach Version entweder in der Kopf- oder Fußzeile gut sichtbar angezeigt werden. Sie können die Version auch finden, indem Sie im Dashboard zum Bereich „Auf einen Blick“ gehen. Wenn diese nicht funktionieren, ist die Version in der Datei readme.html enthalten.

Sie können auch erwägen, ein Scan-Tool zu verwenden, wie z Qualys FreeScan, das Ihnen einen schnellen Überblick über Ihren Sicherheits- und Compliance-Status sowie Empfehlungen für effektive Fehlerbehebungen bietet. Letztendlich ist es wichtig zu sehen, ob Ihre Website kompromittiert wurde, und dann Ihre Websites sofort zu aktualisieren, um die potenziellen Auswirkungen dieser Sicherheitsanfälligkeit zu verringern.

Weitere Informationen zu den Sicherheitslücken- und Schadensbegrenzungsschritten finden Sie in der offiziellen WordPress-Version unter https://wordpress.org/news/2014/11/wordpress-4-0-1/.

Bildnachweis: Brian A Jackson / Shutterstock

jonathan-trull[1]Als CISO für Qualys, Jonathan ist dafür verantwortlich, mit dem wachsenden Kundenstamm von Qualys zusammenzuarbeiten, um bewährte Sicherheitspraktiken zu entwickeln und zu teilen, reale Bedrohungen zu untersuchen und gemeinsam an deren Bekämpfung zu arbeiten. Bevor er zu Qualys kam, war Jonathan CISO für den Bundesstaat Colorado, wo er die Informationssicherheitsoperationen für 17 Abteilungen der Exekutive beaufsichtigte, die etwa 26.000 Mitarbeiter und 150.000 Systeme umfassten. Er ist auch Mitglied der angegliederten Fakultät bei Regis-Universität.



Vorheriger ArtikelStaatliche Überwachung verstößt nicht gegen Menschenrechte – Amnesty International widerspricht
Nächster ArtikelCyberkriminelle stehlen die Kredit- und Debitkartendaten der Kunden von Bebe Stores

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein