metafakten

WordPress: Sicherheitslücke in Slider-Plugin weiter problematisch

Unter dem Titel „Schadcode nutzt Monate alte WordPress-Lücke aus“ wird bei heise eine lange bekannte und bereits behobene Sicherheitslücke in einem WordPress-Plugin besprochen. Wer nur die Überschriften überfliegt, wird sich Probleme bei WordPress Sicherheit merken. Im Text wird deutlich, worum es eigentlich geht:

Sicherheitsforscher warnen erneut vor einer seit Monaten bekannten Sicherheitslücke im beliebten WordPress-Plug-in Slider Revolution. Die Lücke wird mittlerweile aktiv ausgenutzt, um die Webseiten mit dem sogenannten SoakSoak-Schadcode zu infizieren.

Ein „Plugin“ zwischen WordPress und Lücke hätte der Überschrift gut getan. WordPress hat es als derzeit meistgenutztes CMS in punkto Sicherheit gewiss nicht leicht. Doch die Überschrift verkürzt und erweckt den Eindruck in diesem Fall handele es sich um ein WordPress-eigenes Problem ganz so als ob eine unsichere Android-App dem Betriebssystem zur Last gelegt würde. Das Plugin ist aber nicht einmal über das offizielle Pluginverzeichnis verfügbar.

Auch ist nicht ersichtlich warum bei heise von einem beliebten Plugin gesprochen wird. Kennt die Redaktion die Verkaufszahlen des kostenpflichtigen Plugins? Nebenan bei WordPress Doc gibt es übrigens eine Sammlung zum Thema Sicherheit für das WordPress-System.

WordPress anonym aktuell halten

Seit der Version 2.3 sendet WordPress Daten über die verwendeten Plugins an die offiziellen WordPress Entwickler. Dahinter besteht gewiss keine böse Absicht der Entwickler, sondern wahrscheinlich eher der Drang nach statistischer Auswertung zur Verbesserung von WordPress. Nutzern, die jedoch stört, dass diese Daten übermittelt werden, wird jetzt geholfen: Austin Matzko hat ein Plugin geschrieben, dass die Updatenachrichten beschafft ohne dabei Daten wordpress.org zu senden. Das Plugin ist auch auf deutsch verfügbar, wenn Sie die Sprachdatei auf der Seite herunterladen und in den Ordner wp-content/plugins kopieren.