Infos & Service

Sicherheitslücken in WordPress


Veröffentlicht am 25.11.2014 von Anna Philipp

Vor Kurzem wurde in WordPress eine Sicherheitslücke entdeckt, durch die Angreifer über die Kommentar-Funktion schadhaften Javascript-Code einschleusen können (Cross-Site-Scripting).

Betroffen sind davon alte WordPress-Versionen bis einschließlich 3.9.2.

Aber auch Nutzern der Version 4 wird eine Aktualisierung auf die Version 4.0.1 dringend empfohlen, da mit dem Update noch drei weitere XSS-Lücken geschlossen werden.

Informationen dazu stellt WordPress hier bereit:

wordpress.org: WordPress 4.0.1 Security Release

Hinweise zu möglichen Aktualisierungen zeigt WordPress übrigens oben in der Admin-Leiste und zusätzlich links unter "Aktualisierungen" an.

Die genutzte Version ist auf der Startseite, dem Dashboard, zu finden:

WordPress Dashboard

Der Autor:


Kommentare

  • Alex L

    Alex L

    am 11.12.2014

    Hallo,
    ich mag liebe manuelle Updates. So kann ich nochmals nachschauen, ob auch alle Plugins vorher aktuell sind. Ein paar meiner Blogs hatten sich letztens aber auch automatisch upgedatet. Bei [...] Hallo,
    ich mag liebe manuelle Updates. So kann ich nochmals nachschauen, ob auch alle Plugins vorher aktuell sind. Ein paar meiner Blogs hatten sich letztens aber auch automatisch upgedatet. Bei manchen meiner Wordpress-Blogs hat es nicht funktioniert.

    Das Auto-Update lasse ich auf den Blogs noch gelten und werde es nicht abschalten wollen. Ansonsten genügen ja wenige Mausklicks, um Wordpress zu aktualisieren :).

  • Jan

    Jan

    am 25.11.2014

    Mit "WP Updates Notifier" (oder anderen WP-Erweiterungen) kann man automatisch prüfen und sich benachrichtigen lassen, sobald neue Versionen von Plugins zur Verfügung stehen. Dann sind für das Update [...] Mit "WP Updates Notifier" (oder anderen WP-Erweiterungen) kann man automatisch prüfen und sich benachrichtigen lassen, sobald neue Versionen von Plugins zur Verfügung stehen. Dann sind für das Update nur noch ein paar Mausklicks nötig.

  • Anna

    Anna

    am 25.11.2014

    Hallo Marc!

    Automatische Updates bietet WordPress seit der Version 3.7 an: http://faq.wpde.org/automatische-hintergrund-aktualisierungen-konfigurieren/
    Diese kann man aber auch deaktivieren, [...] Hallo Marc!

    Automatische Updates bietet WordPress seit der Version 3.7 an: http://faq.wpde.org/automatische-hintergrund-aktualisierungen-konfigurieren/
    Diese kann man aber auch deaktivieren, falls man die Updates manuell durchführen möchte. Oder man hat sogar noch eine ältere Version und erhält daher keine automatischen Updates. Daher weisen wir hier darauf hin.

    Gerade aber Plugins müssen manuell aktualisiert werden.

  • Dunkelangst

    Dunkelangst

    am 25.11.2014

    @Marc:
    <blockquote>warum gibt es hierfür eigentlich keine Update-Automatik?</blockquote>
    WordPress hat eine Update Automatik integriert. Seit WordPress 3.8 wurde diese in WordPress integriert. Wenn [...] @Marc:
    <blockquote>warum gibt es hierfür eigentlich keine Update-Automatik?</blockquote>
    WordPress hat eine Update Automatik integriert. Seit WordPress 3.8 wurde diese in WordPress integriert. Wenn du dein System nicht anfasst, aktualisiert es sich irgendwann von selbst [1].

    [1]: http://blog.wpde.org/2014/01/24/deine-website-wurde-auf-wordpress-3-8-1-aktualisiert.html

  • Marc

    Marc

    am 25.11.2014

    warum gibt es hierfür eigentlich keine Update-Automatik?
    (ok das dürfte nicht direkt ein df-Problem sein)

    auf der anderen Seite, könnte df den Domain-Inhaber diesbzgl. automatisiert [...] warum gibt es hierfür eigentlich keine Update-Automatik?
    (ok das dürfte nicht direkt ein df-Problem sein)

    auf der anderen Seite, könnte df den Domain-Inhaber diesbzgl. automatisiert informieren/drauf hinweisen bzw. es über ein script anschieben?
    weil ich kenne einige, die immer noch den Mythos "never change/touch a running system" leben.
    ... und nicht jeder liest Blogs ;-)
    PS: wobei Danke für diesen Beitrag