Millionen Websites gefährdet: Sicherheitslücken in WordPress-Plug-ins

SicherheitSicherheitsmanagement
wordpress-logo (Bild: Wordpress)

Das Sicherheitsunternehmen Checkmarx hat in den 50 meistgenutzten Add-ons 18 gravierende Sicherheitslücken gefunden. Besonders Plug-ins für das E-Commerce-Umfeld sind betroffen. Die Lücken existieren teilweise schon mehrere Monate.

wordpress-logo

Checkmarx hat 18 Sicherheitslücken in Plug-ins für die Blogging-Plattform WordPress gemeldet. Nach Informationen des Unternehmens wurden die Ergänzungen für WordPress mehrere Millionen Mal heruntergeladen – entsprechend viele Websites könnten betroffen sein. Gefahr gehe vor allem von E-Commerce-Add-ons aus, schreiben die Experten aus Tel Aviv. Kriminelle könnten fremde WordPress-Server nutzen, um Malware zu verteilen.

Die WordPress-Plug-ins sind ebenso wie WordPress selbst alle quelloffen. Für die Studie hat Checkmarx die 50 jeweils bestbewerteten Add-ons für das Redaktionssystem überprüft, zunächst im Januar und dann wieder Anfang Juni. Die 18 als fehlerhaft identifizierten Komponenten wurden zusammen 18,5 Millionen Mal heruntergeladen. Alle waren zwischen den beiden Tests aktualisiert worden, aber die Lücke nur in sechs Fällen verschwunden.

wordpress-nutzung
Anlässlich des zehnjährigen Bestehens von WordPress Ende Mai hat die Blogging-Plattform Nutzerzahlen veröffentlicht: Demnach werden weltweit über 66 Millionen Webseiten mit der Software betrieben. Der Löwenanteil der Nutzer lebt im englischsprachigen Raum. Hierzulande dürfte es ungefähr 1,2 Millionen WordPress-Blogs geben. (Grafik: Statista).

Bei den Tests im Juni kam Checkmarx außerdem zu dem Ergebnis, dass mehr als 20 Prozent der Top 50 anfällig für verbreitete Methoden wie SQL Injection und Cross-Site Scripting sind. Dies gefährdet jede Site, die eines der Programme einsetzt. Mit SQL Injection in Form von präparierten relationalen Abfragen in Suchboxen können Angreife Datenbanken beispielsweise dazu bringen, falsche Informationen abzurufen oder ein Log-in ohne korrekte Anmeldedaten vornehmen. Mit Automatisierungstools lässt sich diese Art von Angriffen vergleichsweise einfach durchführen.

Checkmarx hat die betroffenen Erweiterungen nicht namentlich genannt. Im Bereich E-Commerce habe man in sieben der Top-10-Downloads Lücken gefunden, die sich auf bisher 1,7 Millionen Downloads addierten. Es seien aber auch solche für die Anbindung von Facebook und den Zugriff auf APIs dabei.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen