Schlagwort: WordPress

Veröffentlicht am

WordPress Plugin WP GDPR bis Version 1.4.2 unsicher

Als ich am Samstag mal wieder die Zeit hatte, die Heise News zu lesen, stand an erster Stelle gleich der Artikel, Schwerwiegende Schwachstelle in DSGVO-Plugin für WordPress.
Ich selbst habe das Plugin bei Kunden nicht eingesetzt, weiß aber, dass es einige Betroffene gibt, die schleunigst ein Update des Plugins machen sollten. Denn beim Programmieren des Plugins hat sich offensichtlich ein gravierender Fehler eingeschlichen, der es leicht macht, volle Kontrolle über die Website zu bekommen, indem man sich selbst einen Benutzer anlegen kann, den man wiederum zu Administrator der Website erklären kann. Details hat Mikey Veenstra von Wordfence in einem Blog-Beitrag aufgeschrieben.
Diese weit offen stehende Hintertür kann durch die Aktualisierung des Plugins geschlossen werden – der Entwickler hat immerhin dafür gesorgt, dass das Problem in der neuen Version des Plugins nicht weiter besteht.

Ich bin der Meinung, dass so wenig Plugins wie möglich im Einsatz sein sollten – grundsätzlich – unabhängig vom eingesetzten Basis-System.

Wenn mit Bord-Mitteln möglich, sollte man Anforderungen ohne Plugins lösen.  Denn egal ob WordPress, TYPO3, OXID eShop oder Shopware (…), jede Erweiterung beinhaltet grundsätzlich Code der potentiell unsicher sein kann. Das bedeutet wiederum ausdrücklich nicht, dass viele Plugins auf jeden Fall eine Unsicherheit bedeuten – das Risiko erhöht sich aber.

Sie können sich das ein bisschen so vorstellen, als ob man viele Medikamente nehmen muss – je mehr verschiedene Medikamente man nimmt, desto größer ist die Gefahr von unerwünschten Wechselwirkungen und Nebenwirkungen.

Update 14.11.2018:

Heute habe ich die erste Website gerettet, die von dem Fehlerhaften und noch nicht aktualisierten Plugin WP GDPR 1.4.2 betroffen war. So konnte ich eimal sehen, wie die Lücke unter anderem ausgenutzt wird. In dem Fall waren die Auswirkungen relativ harmlos. Es wurden zwei Administrator-Accounts in der WordPress-Installation angelegt. So konnte der Hacker einen Ordner in den Theme-Ordner einschleusen in dem er wiederum Schadcode versteckt hatte. Der führte dazu, dass wenn man die Website aufrief auf irgendeine scheinbar willkürliche Webiste weitergeleitet wurde. Es war in diesem Fall glücklicherweise keine Porno-Website oder ähnliches.

Ich bin gespannt, ob in den nächsten Tagen die nächsten Website-Betreiber Alarm schreien.

Veröffentlicht am

WordPress 3.2 erscheint in Kürze – keine Untersützung für den Internet Explorer 6

Sind Sie bereit für WordPress 3.2?

Bald ist es soweit – die neue Version 3.2 der populären Blog-Software WordPress erscheint in Kürze! Was mich daran besonders freut, ist der Auslaufende Support für den alten Internet Explorer 6. Jeder Browser hat seine Zeit, die des schon 10 Jahre alten IE6 sind in meinen Augen (und ich bin sicher nicht der Einzige) gezählt. Für meine Begriffe ein Schritt in die richtige Richtung seitens WordPress.
Laut der Website www.ie6countdown.com nutzten im Juni 2011 10,7% der Internetnutzer noch den IE6 – eine erfreuliche Zahl, die scheinbar auch immer kleiner wird – gut so, denn dieser “out-of-date web browser” erschwert nicht nur Webentwicklern die tägliche Arbeit enorm, sondern mindert auch das Erlebnis “im Internet surfen” für alle, die gezwungen sind diesen Browser zu nutzen.
Dass WordPress, mit über 24 Millionen Nutzern, diesen Schritt geht, ist ein Fingerzeig in die richtige Richtung. So wird hier und da sicherlich der richtige Druck ausgeübt, um auf einen modernen Webbrowser umzusteigen.

Neben dem ändern sich auch die Serveranforderungen für des neue WordPress. PHP in der Version 5.2.4 und MySQL 5.0 sind nur die Hauptvoraussetzung, um WordPress nutzen zu können.

Passender Newsartikel bei wordpress.org:
Are You Ready for WordPress 3.2?