Köln- Wer sein WordPress CMS nicht gehackt sehen möchte der sollte den WordPress Entwicklern folgen und das empfohlene Sicherheitsupdate 4.7.1 zügig einspielen. WordPress ist verwundbar und Angreifer könnten im schlimmsten Fall ohne Authentifizierung aus der Ferne Schadcode ausführen. Das kann ich bestätigen,denn Ende Dezember habe ich mich mit zwei gehackten Seiten beschäftigt. 

Wer das CMS nutzt, sollte die abgesicherte Version zügig einspielen, raten die Entwickler. Das Notfallteam des Bundesamt für Sicherheit in der Informationstechnik (BSI) CERT Bund stuft das von den Lücken ausgehende Risiko insgesamt als „hoch“ ein.

Eine kritischste Lücke schließt das WordPress-Team in der Webmail-Bibliothek PHPMailer, die beim CMS standardmäßig geladen wird. Aufgrund einer fehlerhaften Eingabeüberprüfung könnten Angreifer eigenen Code auf das Systeme schieben und ausführen.

Die PHPMailer-Schwachstelle bedroht WordPress aber nicht direkt, da die E-Mail-Implementierung des CMS wp_mail nicht dafür anfällig sein soll. Erst wenn Plugins auf die verwundbare Webmail-Bibliothek zugreifen, könnte es mit älteren WordPress-Versionen gefährlich werden.

Eine weitere Lücke klafft in der REST API und wer es drauf anlegt, soll Nutzerdaten von Autoren eines öffentlichen Post abziehen können. Bei den verbleibenden Schwachstellen handelt es sich um CSRF und XSS-Lücken. Setzen Angreifer an diesen an, sollen sie etwa Sicherheitsmechanismen umgehen können.

Zusätzlich zu den acht Sicherheitslücken hat WordPress 4.7.1 insgesamt 62 Fehler aus der Version 4.7 behoben. Weitere Informationen findest du in den Release Notes oder in der Liste der Änderungen.

WordPress 4.7.1 kannst du entweder hier downloaden oder im Adminbereich deiner Website, Dashboard -> Aktualisierungen -> „Bitte aktualisiere jetzt“. WordPress-Installationen, bei denen die automatischen Hintergrund-Updates aktiviert sind, werden automatisch mit der WordPress-Aktualisierung versorgt.