Millionen Websites gefährdet: Sicherheitslücken in WordPress-Plug-ins
Checkmarx hat 18 Sicherheitslücken in Plug-ins für die Blogging-Plattform WordPress gemeldet. Nach Informationen des Unternehmens wurden die Ergänzungen für WordPress mehrere Millionen Mal heruntergeladen – entsprechend viele Websites könnten betroffen sein. Gefahr gehe vor allem von E-Commerce-Add-ons aus, schreiben die Experten aus Tel Aviv. Kriminelle könnten fremde WordPress-Server nutzen, um Malware zu verteilen.
Die WordPress-Plug-ins sind ebenso wie WordPress selbst alle quelloffen. Für die Studie hat Checkmarx die 50 jeweils bestbewerteten Add-ons für das Redaktionssystem überprüft, zunächst im Januar und dann wieder Anfang Juni. Die 18 als fehlerhaft identifizierten Komponenten wurden zusammen 18,5 Millionen Mal heruntergeladen. Alle waren zwischen den beiden Tests aktualisiert worden, aber die Lücke nur in sechs Fällen verschwunden.
Bei den Tests im Juni kam Checkmarx außerdem zu dem Ergebnis, dass mehr als 20 Prozent der Top 50 anfällig für verbreitete Methoden wie SQL Injection und Cross-Site Scripting sind. Dies gefährdet jede Site, die eines der Programme einsetzt. Mit SQL Injection in Form von präparierten relationalen Abfragen in Suchboxen können Angreife Datenbanken beispielsweise dazu bringen, falsche Informationen abzurufen oder ein Log-in ohne korrekte Anmeldedaten vornehmen. Mit Automatisierungstools lässt sich diese Art von Angriffen vergleichsweise einfach durchführen.
Checkmarx hat die betroffenen Erweiterungen nicht namentlich genannt. Im Bereich E-Commerce habe man in sieben der Top-10-Downloads Lücken gefunden, die sich auf bisher 1,7 Millionen Downloads addierten. Es seien aber auch solche für die Anbindung von Facebook und den Zugriff auf APIs dabei.
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.