Home Sicherheit Neue WordPress Version 4.2.4 schließt drei Arten von Sicherheitslücken

Bild: Mawaze - CC BY 2.0 Sharealike Commercial

Das letzte Security und Maintenance Update von WordPress ist noch nicht einmal zwei Wochen her und schon gibt es eine Neue. Sie stopft Schwachstellen, die mit Hilfe von SQL Injection ausgenutzt werden können, um beispelsweise eine neuen Administrator-Konto anzulegen. Ebenso wurde eine weitere Lücke geschlossen die Cross-Site-Scripting (XSS) ermöglichte. Zu guter letzt werden mit dem Update eine potenzielle Lücke zur Ausnutzung eines Timing Side Chanels geschlossen. Dennoch gab es auch vier Bugfixes die es in das Sicherheits-Update geschafft haben. Kurzum: Ihr solltet Euren WordPress-Blog bald updaten.

Nicht der automatischen Aktualisierung vertrauen

Martin empfiehlt auf seinem Blog lieber nicht der automatischen Aktualisierung von WordPress zu vertrauen. Obwohl das Update bereits seit heute morgen ausgerollt wird, haben nicht alle seiner 15 WordPress-Blogs bereits das Update eingespielt. Automatische Updates sollten generell aktiviert sein. Sie aktualisieren vor allem automatisch kleine Sicherheits-Updates von WordPress. Bei großen „Major Releases“ muss der Administrator noch selbst den Befehl zum Upgrade geben.


Eine Antwort zu diesem Blogbeitrag
  1. Im Gegensatz zu einigen recht holprigen Updates dieses Jahr läuft dieses imho problemlos. Für normale Webmaster ist neben der Sicherheitsaktualisierung die Funktion, das Favicon nun über das Backend definieren zu können, sicher eine der sinnvollsten Änderungen. Mag nur eine Kleinigkeit sein, komplettiert aber den Anspruch, das WordPress sehr praktisch orientiert ist und Sitebetreibern viele Arbeitsschritte erleichtert.