Sicherheitslücken in WordPress

Vor Kurzem wurde in WordPress eine Sicherheitslücke entdeckt, durch die Angreifer über die Kommentar-Funktion schadhaften Javascript-Code einschleusen können (Cross-Site-Scripting).
Betroffen sind davon alte WordPress-Versionen bis einschließlich 3.9.2.

Aber auch Nutzern der Version 4 wird eine Aktualisierung auf die Version 4.0.1 dringend empfohlen, da mit dem Update noch drei weitere XSS-Lücken geschlossen werden.

Informationen dazu stellt WordPress hier bereit:
wordpress.org: WordPress 4.0.1 Security Release

Hinweise zu möglichen Aktualisierungen zeigt WordPress übrigens oben in der Admin-Leiste und zusätzlich links unter „Aktualisierungen“ an.

Die genutzte Version ist auf der Startseite, dem Dashboard, zu finden:

WordPress Dashboard

Anna Philipp

Über den Autor

Anna Philipp

Anna arbeitet seit 2006 bei DomainFactory. Als Social Media und Content Manager vertritt sie DF in den sozialen Netzwerken (Facebook, Twitter, Googleplus und natürlich im DF-Blog). In ihrer Freizeit findet man Anna - sofern sie mal nicht online ist - höchstwahrscheinlich zwischen Rührschüsseln und Schneebesen am Backofen.

5 Kommentare

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • Marc
    Marc - 25. November 2014 um 11:45 Uhr

    warum gibt es hierfür eigentlich keine Update-Automatik?
    (ok das dürfte nicht direkt ein df-Problem sein)

    auf der anderen Seite, könnte df den Domain-Inhaber diesbzgl. automatisiert informieren/drauf hinweisen bzw. es über ein script anschieben?
    weil ich kenne einige, die immer noch den Mythos „never change/touch a running system“ leben.
    … und nicht jeder liest Blogs 😉
    PS: wobei Danke für diesen Beitrag

  • Dunkelangst
    Dunkelangst - 25. November 2014 um 11:57 Uhr

    @Marc:

    warum gibt es hierfür eigentlich keine Update-Automatik?

    WordPress hat eine Update Automatik integriert. Seit WordPress 3.8 wurde diese in WordPress integriert. Wenn du dein System nicht anfasst, aktualisiert es sich irgendwann von selbst [1].

    [1]: http://blog.wpde.org/2014/01/24/deine-website-wurde-auf-wordpress-3-8-1-aktualisiert.html

  • Anna
    Anna - 25. November 2014 um 11:57 Uhr

    Hallo Marc!

    Automatische Updates bietet WordPress seit der Version 3.7 an: http://faq.wpde.org/automatische-hintergrund-aktualisierungen-konfigurieren/
    Diese kann man aber auch deaktivieren, falls man die Updates manuell durchführen möchte. Oder man hat sogar noch eine ältere Version und erhält daher keine automatischen Updates. Daher weisen wir hier darauf hin.

    Gerade aber Plugins müssen manuell aktualisiert werden.

  • Jan
    Jan - 25. November 2014 um 23:33 Uhr

    Mit „WP Updates Notifier“ (oder anderen WP-Erweiterungen) kann man automatisch prüfen und sich benachrichtigen lassen, sobald neue Versionen von Plugins zur Verfügung stehen. Dann sind für das Update nur noch ein paar Mausklicks nötig.

  • Alex L
    Alex L - 11. Dezember 2014 um 22:09 Uhr

    Hallo,
    ich mag liebe manuelle Updates. So kann ich nochmals nachschauen, ob auch alle Plugins vorher aktuell sind. Ein paar meiner Blogs hatten sich letztens aber auch automatisch upgedatet. Bei manchen meiner WordPress-Blogs hat es nicht funktioniert.

    Das Auto-Update lasse ich auf den Blogs noch gelten und werde es nicht abschalten wollen. Ansonsten genügen ja wenige Mausklicks, um WordPress zu aktualisieren :).