Nur 3 Tage nach der Veröffentlichung von WordPress 4.2 fand ein Sicherheitsforscher eine Zero-Day-XSS-Schwachstelle, die WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 und 3.9.3 betrifft. Dies ermöglicht es einem Angreifer, JavaScript in Kommentare einzuschleusen und Ihre Website zu hacken. Das WordPress-Team reagierte schnell und behob das Sicherheitsproblem in WordPress 4.2.1. Wir empfehlen Ihnen dringend, Ihre Websites sofort zu aktualisieren.
Jouko Pynnönen, ein Sicherheitsforscher bei Klikki Oy, der das Problem gemeldet hat, beschrieb es wie folgt:
Wenn die Schwachstelle von einem angemeldeten Administrator ausgelöst wird, kann der Angreifer unter den Standardeinstellungen die Schwachstelle ausnutzen, um über die Plugin- und Theme-Editoren beliebigen Code auf dem Server auszuführen.
Alternativ könnte der Angreifer das Passwort des Administrators ändern, neue Administrator-Konten erstellen oder alles andere tun, was der aktuell angemeldete Administrator auf dem Zielsystem tun kann.
Diese spezielle Schwachstelle ähnelt der von Cedric Van Bockhaven gemeldeten, die in der WordPress 4.1.2 Sicherheitsversion behoben wurde.
Leider haben sie keine ordnungsgemäße Offenlegung von Sicherheitsinformationen vorgenommen und stattdessen den Exploit öffentlich auf ihrer Website gepostet. Das bedeutet, dass diejenigen, die ihre Website nicht aktualisieren, ernsthaften Risiken ausgesetzt sind.
Update: Wir haben erfahren, dass sie versucht haben, das WordPress-Sicherheitsteam zu kontaktieren, aber keine zeitnahe Antwort erhalten haben.
Wenn Sie automatische Updates deaktiviert haben, wird Ihre Website automatisch aktualisiert.
Wir raten Ihnen nochmals dringend, Ihre Website auf WordPress 4.2.1 zu aktualisieren. Stellen Sie sicher, dass Sie ein Backup Ihrer Website erstellen, bevor Sie aktualisieren.
Rajnish Tyagi
Hallo,
Meine Seite war letzte Woche 2 Mal down, ich benutze einen AWS-Server, für die Datenbank benutze ich RDS, aber heute ist meine Datenbank abgestürzt, die Wiederherstellung dauerte 2 Stunden, ich benutze die neueste Version von WordPress 4.2.2
Bitte geben Sie mir einige gute Sicherheitstipps
Danke
Rajnish
Paul
Danke für den Beitrag. Ich werde meine Seiten sofort aktualisieren!
Mike
Wenn Sie Akismet laufen haben, ist die Wahrscheinlichkeit groß, dass die Kommentare als Spam markiert werden. Überprüfen Sie daher nicht Ihre Spam-Warteschlange.
Bernhard
Bitte schauen Sie sich http://klikki.fi/adv/wordpress2.html an, wo klar erklärt wird, wie sie versucht haben, WordPress.com zu kontaktieren und seit NOVEMBER 2014 keine Antwort erhalten haben (Bestätigt anfällig: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.):
„WordPress hat seit November 2014 alle Kommunikationsversuche bezüglich unserer laufenden Sicherheitslücken abgelehnt. Wir haben versucht, sie per E-Mail, über die nationale Behörde (CERT-FI) und über HackerOne zu erreichen. Seit dem 20. November 2014 wurde keine Antwort jeglicher Art erhalten. Nach unserem Wissen hat sich auch ihr Sicherheitsteam geweigert, auf die finnische Kommunikationsregulierungsbehörde zu antworten, die versucht hat, die von uns gemeldeten Probleme zu koordinieren, und auf Mitarbeiter von HackerOne, die versucht haben, den Status unserer offenen Fehler-Tickets zu klären.“
Wenn das korrekt ist, war die Offenlegung des Problems das einzig Verantwortungsbewusste, und Websites sind nicht wegen der Offenlegung anfällig, sondern wegen des Versäumnisses von WordPress, dieses Problem fast 6 Monate lang zu beheben.
Ich verstehe, dass Sicherheit ein komplexes Thema ist, aber bitte stellen Sie Ihre Fakten richtig dar.
WPBeginner Support
Wir entschuldigen uns aufrichtig. Wir haben den Artikel aktualisiert.
Admin
Bilal Bin Amar
aber nach dem Update sind mein CMS (WordPress) und meine Website sehr langsam geworden, unter dem CMS, wenn ich auf ein hinzugefügtes Plugin klicke, gibt es einen Fehler
William Charles
Ich wurde automatisch aktualisiert und jetzt werde ich aufgefordert, meine Datenbank zu aktualisieren. Wenn ich meine Datenbank aktualisiere, erhalte ich folgende Fehlermeldung: Catchable fatal error: Object of class WP_Error could not be converted to string in /home/doctorof/public_html/wp-admin/includes/upgrade.php on line 1459
Irgendwelche Gedanken, wie man es beheben kann? Habe die üblichen Methoden versucht (Plugins deaktivieren, Standard-Theme usw.).
Redaktion
Bitte kontaktieren Sie Ihren Hosting-Provider. Dies kann aufgrund einer beschädigten Datenbanktabelle geschehen. Uns ist das mit unserer Website List25 passiert, und unser Hoster konnte es sofort beheben.
Admin
kunwar
Besuchen Sie einfach Ihre Admin-Login-Seite /wp-admin und drücken Sie dann die Schaltfläche "Datenbank aktualisieren". Dies sollte das Problem beheben.
pmisun
Nach dem automatischen Update wurden unsere Instanzen komplett durcheinander gebracht und wir erhielten keine Serverantworten. Untersuchen seit 6 Stunden, ohne positive Ergebnisse. Der Server ist in Ordnung, die IP-Anbieter / ISPs sind in Ordnung...
raja babu
Ich möchte wissen, wie ich meine Website sichern kann, wie kann ich automatische Updates meiner Website stoppen??? Bitte helfen Sie mir
WPBeginner Support
Es wird dringend empfohlen, Ihre WordPress-Website zu aktualisieren, sobald ein neues Update verfügbar ist. Wenn Sie dies nicht tun, ist Ihre Website anfällig. Wenn Sie jedoch aus irgendeinem Grund manuell aktualisieren möchten, können Sie automatische Updates in WordPress deaktivieren.
Admin
Elaine Maul
Thank you for the alert! Although I have automatic updates set, it hadn’t got round to doing it yet for some reason, so I have actioned it myself
Thank you
ha manh bui
Woher weiß ich, ob meine Website http://homelytips.com/ betroffen ist? Sie hat sich gerade automatisch auf 4.1.4 aktualisiert.
Redaktion
Das automatische Update wird vom WordPress-Team durchgeführt, wenn Sie es nicht deaktiviert haben.
4.1.4 behebt das Problem ebenfalls.
Admin