Für WordPress wurde gestern (Zeitzone beachten) ein Wartungsupdate veröffentlicht. Es wurden kritische Sicherheitslücken behoben bzw. Sicherheitsverbesserungen durchgeführt. Diese können in fünf Bereiche zusammengefasst werden.
Das Ganze kann im Artikel WordPress 4.1.2 Security Release bzw. WordPress 4.1.2 Sicherheits-Release oder im Codex nachgelesen werden. Zusammengefasst bedeutet das auch ältere Versionen ab WordPress 3.9 (und höher) Sicherheitslücken beinhalten. Es sind zwar nicht alle vorhanden, aber eine reicht bekanntlich. Da nicht mehr für alle älteren Versionen ein Wartungsupdate kommen wird, sollte man auf die aktuellste Version wechseln.
Dazu kommt die Tatsache, dass mehrere Plugins anfällig für eine sogenannte SQL Injection sind. Hier wurden ebenfalls gestern mehrere Plugins aktualisiert. Also unbedingt die Plugins auf Updates prüfen – dies geschieht für gewöhnlich nicht automatisch.
Eine Zusammenfassung von Plugins sind im Artikel Security Advisory: XSS Vulnerability Affecting Multiple WordPress Plugins zu finden. Leider sind noch nicht Updates von allen Plugins verfügbar geworden. Ebenso wird im Artikel darauf hingewiesen, dass nur die am meisten genutzten Plugins überprüft wurden. Womöglich gibt es weitere Plugins, die betroffen sind. Dies ergibt sich sobald eine der beiden Befehle nutzt werden:
- add_query_arg
- remove_query_arg
Damit kann theoretisch jeder prüfen ob das genutzte Plugin davon betroffen wäre. Zwar ist die Lücke je nach Plugin für anonyme Nutzer nicht ausnutzbar, aber das ist trotzdem kein Garantie, dass bestimmte Leute nicht doch eine Möglichkeit finden werden.
