Köln- Heise Security meldete gestern eine bisher unbekannte Sicherheitslücke in aktuellen WordPress-Installationen. Über die Kommentarfunktion können Angreifer Schadcode einbringen, der beim Anzeigen durch einen Admin dessen Konto und somit die Seite übernehmen kann.

In der aktuellen WordPress-Version 4.2 klafft eine Sicherheitslücke, die es Angreifern unter bestimmten Umständen erlaubt, die Webseite über die Kommentarfunktion zu übernehmen. Ältere Versionen sind ebenfalls angreifbar. Bei der Lücke handelt es sich um Stored Cross-Site Scripting (Stored XSS), da ein Angreifer Schadcode in einen Kommentar einbettet, der vom System gespeichert und wieder angezeigt werden muss, damit der Angriff wirksam ist. Schafft es der Angreifer, dass ein Administrator den Kommentar außerhalb der Admin-Seiten anschaut, kann er dessen Account kapern.
Wordpress.com meldete heute morgen, das es mit Akismet diese Lücke nicht gibt. Das ist natürlich für andere WordPress Benutzer die das CMS selbst hosten keine Hilfe.

Fürs erste hilft das abschalten der Kommentarfreigabe. Gehen Sie auf Nummer sicher und stellen Sie ihr WordPress so ein das Kommentare durch den Administrator genehmigt werden müssen!

Antispambee und andere Pluggins melden noch keinen Vollzug um das Problem in den Griff zu bekommen.Wir berichten weiter.