Vorsicht vor Sicherheitslücken in WordPress-Plugins

27. Juni 2013, von mario

Erneut wurden bei der namhaften Blogging-Plattform WordPress mehrere Sicherheitslücken entdeckt. Wie das Sicherheitsunternehmen Checkmarx in einem kürzlich veröffentlichten Sicherheitsbericht mitteilt, sind unter den jeweils 50 bestbewerteten Plugins 18 Erweiterungen fehlerhaft. Millionen Websites könnten davon betroffen sein.

Viren durch Flash PluginsTop-Ten User gefährdet

In einer Studie deckte das Unternehmen gravierende Sicherheitslücken auf, die vor allem den Bereich der Plugins betreffen. In einem Abstand von sechs Monaten wurden zweimal die 50 bestbewerteten Erweiterungen überprüft. Trotz zwischenzeitlichen Aktualisierungen aller Programme, waren weiterhin 18 davon betroffen. Diese wurden zusammen mehr als 18 Millionen mal heruntergeladen. Im Bereich der Top 10 der beliebtesten E-Commerce Plugins wurden sieben Programme mit Sicherheitslücken gefunden.

Nur in sechs Fällen sind die gefunden Lücken innerhalb des Testzeitraums verschwunden. Darunter finden sich Erweiterungen wie BuddyPress oder E-Commerce. Welche Plugins genau betroffen sind, lässt sich aus dem Sicherheitsbericht von Checkmarx nicht entnehmen, da die Namen dort geschwärzt wurden. Anhand der übriggebliebenen Kurzbeschreibungen, kann man dem Bericht jedoch entnehmen, dass es sich dabei auch um Erweiterungen handelt, die Anbindungen zu Facebook schaffen oder mit denen man Flash und HTML5 Videos in einer Seite einbauen kann.

Leichte Beute für Internetpiraten

Die gefundenen Erweiterungen machen die betroffenen Websites zu einem leichten Ziel. Sie sind vor allem anfällig gegenüber SQL Injection (SQLi), Cross Site Scripting (XSS) oder Path Traversal (PT). So erlaubt SQLi die Abfrage von Datenbanken oder ein Login ohne die korrekten Anmeldedaten. Hacker können diese Programme weiterhin nutzen um sensible Daten, wie persönliche Informationen, medizinische Daten oder Bankdaten zu erschleichen. Auch könnten Websites grafisch verändert werden, sie auf andere Websites verweisen, die ebenfalls Schadsoftware enthalten oder diese zu einem sogenannten Botnetz hinzufügen, von dem aus Maleware verbreitet werden kann.

Der richtige Umgang mit den Sicherheitslücken

Die Problematik ist, dass diese Plugins, wie WordPress selbst, quelloffen sind. Dies bedeutet, dass jeder Programme am Heimrechner programmieren und ins Netz stellen kann.
Obwohl sich WordPress  nicht zu den gefunden Sicherheitslücken äußert, haben die Autoren Sicherheitstipps für den Anwender:

  • Plugins nur von einem seriösen Marketplace, wie von WordPress selbst, herunterladen
  • Plugins sollten immer aktualisiert werden
  • unbenutzte Plugins sollten entfernt werden
  • mithilfe von speziellen Sicherheitsscannern den Quellcode der Plugins überprüfen

(Bild: fuzzbones/Fotolia)