Suche
Close this search box.

Schlagwort: CMS

Sicherheitslücken in WordPress entdeckt
Sicherheit

Sicherheitslücken in WordPress entdeckt

Sicherheitslücken in WordPress entdeckt – Genauer gesagt wurden gleich in drei beliebten WordPress Plugins gravierende Sicherheitslücken entdeckt. Rund 400.000 Websites sind derzeit  betroffen. Betreiber von Webseiten, die die an sich praktischen Erweiterungen des Content Managements Systems nicht schnellstmöglich aktualisieren, riskieren unter anderem, dass sich Unbefugte Zugriff verschaffen. WordPress CMS –  das weltweit meist genutzte Open Source Content Management System WordPress hat sich seit dem Start im Jahre 2003 zu einem des am häufigsten genutzten Content Management Systems weltweit entwickelt. Rund 50% aller Webseiten welche auf ein CMS aufbauen wurden mit WordPress erstellt. Der Anteil von WordPress in Bezug auf alle Webseiten weltweit liegt bei der beachtlichen Zahl von ca 32%. Das freie CMS Tool bietet viele Individualisierungsmöglichkeiten sowie einfache Verwaltung und Wartung. Plugins (Erweiterungen) sorgen für weitere Möglichkeiten eine Webseite nach heutigen Standards einfach realisieren zu können. Doch gerade hier ist Vorschicht geboten, denn die oft praktischen Plugins von externen Entwicklern oder Drittanbietern stellen ein nur schwer zu kalkulierendes Risiko dar. Das zeigt auch der aktuelle Fall, bei dem in drei Erweiterungen Sicherheitslücken in WordPress entdeckt wurden. Sicherheitslücken in WordPress entdeckt Bei den Sicherheitslücken handelt es sich konkret um die drei Plugins InfiniteWP, WP Database Reset und WP Time Capsule. Vor allem InfiniteWP erfreut sich großer Beliebtheit, weil es eine zentrale Verwaltung aller WordPress-Installationen ermöglicht. Wenn ein Unternehmen mehrere Webseiten betreibt oder Ihre Webseite von einer Agentur entwickelt worden ist, ist die Wahrscheinlichkeit relativ hoch, dass dieses Plugin im Einsatz ist. Sicherheitsexperten welche die Schwachstelle aufgedeckt haben, zeigen das es bereits genügt Kenntnis über den Account-Namen zu haben um sich Zugang zum Nutzeraccount zu verschaffen. Ein Update welches diese Lücken schließen soll ist bereits veröffentlicht worden. Unbefugter Admin-Zugang Auch bei den beiden anderen Plugins wurden Sicherheitslücken entdeckt die es in sich haben. WP Time Capsule wird häufig zur einfachen Erstellung von Backups verwendet. Durch die Schwachstelle ist es Unbefugten Benutzern möglich sich ohne weitere Authentifizierung als Admin anmelden zu können. Auch hier hat der Entwickler sofort reagiert und bereits ein Update des beliebten Plugins veröffentlicht. Auch bei WP Database Reset ist es möglich über eine Sicherheitslücke sich Admin-Rechte zu verschaffen. Zugleich ermöglicht es Angreifern die Datenbank Zurückzusetzen und mit Set-up-Werten zu befüllen. Schätzungen zufolge ist dieses Plugin auf mehr als 80.000 WordPress Installationen im Einsatz. Auch hier sollte schnellstmöglich ein Update auf die Version 3.15 durchgeführt werden um die Sicherheitslücken zu schließen. Risiko durch fehlendes Patch-Management In vielen Unternehmen stellt sich das Problem, dass sich niemand um die “Überwachung” von Anwendungen kümmert. Jede Anwendung kann ein Risiko darstellen, wenn sie nicht auf den aktuellen Stand gebracht bzw. gehalten wird. Das gilt sowohl für Software auf Ihrem “PC” oder “Server” sowie auch für “Web-Anwendungen” und “Content Management Systeme” wie WordPress. Durch ein Patch-Management lässt sich das Risiko, Opfer einer Hacker-Attacke zu werden, massiv minimieren. Sicherheitsexperten nehmen regelmäßig Anwendungen unter die Lupe um Sicherheitslücken aufzuspüren. Sobald Updates für die Anwendungen vorhanden sind um diese Sicherheitslücken zu schließen sollten diese auch durchgeführt werden um das Worst-case-Szenario zu vermeiden. Mit dem iKomm MSP Secure Webhosting bieten wir Ihnen ein vollständiges Patch-Management Ihrer WordPress-Installation, automatisierte Backups und weitere Sicherheitsfunktionen wie eine WAF – Web Application Firewall an. Kunden der iKomm MSP Hosting Infrastruktur müssen sich keine Sorgen machen, denn wir verwenden keines der oben genannten Plugins für unsere Verwaltungen. Sollte Ihre Webseite von einer Agentur erstellt worden sein, gäbe es prinzipiell die Möglichkeit das dennoch ein betroffenes Plugin installiert ist. Durch unser Patch-Management wurde die Plugins aber bereits aktualisiert, da für alle drei Plugins bereits Updates verfügbar sind. Sollten Sie dennoch Fragen haben, können Sie gerne unsere Technik kontaktieren. Wir freuen uns auf Ihre Anfragen.   Quelle des Beitrags: https://it-service.network/blog/2020/01/21/wordpress-sicherheitsluecken/?utm_source=facebook&utm_medium=social  

Kaspersky Labs

Mögliche Probleme mit Plug-ins von Drittanbietern

Online-Shops, Informationsportale und andere Ressourcen basieren häufig auf Plattformen, die Entwicklern eine Reihe gebrauchsfertiger Tools zur Verfügung stellen. Unser Blog funktioniert ähnlich. Funktionen und Features werden in der Regel in Form von Plug-ins zur Verfügung gestellt, die dann von Nutzern bei Bedarf und nach Belieben hinzugefügt werden können. Einerseits ist dies ein durchaus praktisches System, das verhindert, dass Entwickler das Rad sprichwörtlich jedes Mal neu erfinden müssen, wenn sie ein bestimmtes Tool oder eine bestimmte Funktion benötigen. Andererseits bedeuten mehr Drittanbieter-Entwicklungen auf Ihrer Website gleichzeitig auch eine größere Gefahr, dass etwas schief gehen könnte. Mögliche Probleme Bei einem Plug-in handelt es sich um ein kleines Software-Modul, das die Funktionalität einer Website entweder ergänzt oder verbessert. Plug-ins gibt es wie Sand am Meer; einige von ihnen zeigen die Widgets sozialer Netzwerke an, während andere Module Statistiken erfassen und Umfragen oder ähnlichen Content erstellen – die Möglichkeiten sind hier wirklich grenzenlos. Wenn Sie ein Plug-in mit der Engine Ihrer Website verknüpfen, wird dieses automatisch ausgeführt und erfordert nur dann Ihre Aufmerksamkeit, wenn ein Betriebsfehler auftritt – bzw. dann, wenn jemand den Fehler bemerkt. Und darin lauert die Gefahr solcher Module: Wenn Entwickler Plug-ins nicht mehr länger unterstützen oder weiterverkaufen, kriegen Nutzer dies oftmals gar nicht mit. Plug-ins mit Leak-Risiko Plug-ins, die seit Jahren nicht aktualisiert wurden, enthalten möglicherweise nicht gepatchte Schwachstellen, die ausgenutzt werden können, um die vollständige Kontrolle über eine Website zu übernehmen oder die Seite mit einem Keylogger, Krypto-Miner oder sonstiger Schadsoftware zu bestücken. Selbst wenn Updates zur Verfügung stehen, schenken viele Websitebetreiber diesen nur wenig bis gar keine Beachtung, und gefährdete Module können auch noch Jahre, nachdem ihr Support eingestellt wurde, aktiv bleiben. Selbst wenn Plug-in-Entwickler mögliche Schwachstellen patchen, kann es sein, dass die Patches aus irgendeinem Grund nicht automatisch installiert werden. In einigen Fällen vergessen Modul-Autoren beispielsweise ganz einfach, die Versionsnummer im Update zu ändern. Kunden, die sich auf automatische Updates verlassen, anstatt manuell nach verfügbaren Aktualisierungen zu suchen, bleiben dann auf veralteten Plug-ins sitzen. Plug-in-Ersatz Einige Website-Content-Management-Plattformen blockieren den Download von Modulen, die nicht länger unterstützt werden, automatisch. Dennoch können Entwickler und Plattformen keine anfälligen Plug-ins von den Webseiten der Nutzer löschen; denn das könnte zu Störungen oder schlimmeren Schäden oder Beeinträchtigungen führen. Hinzu kommt, dass veraltete Plug-ins möglicherweise nicht auf der Plattform selbst, sondern auf öffentlich verfügbaren Diensten gespeichert werden. Löscht der Entwickler ein Modul oder stellt dessen Support ein, greift Ihre Website trotzdem weiterhin auf den jeweiligen Container zu, in dem das Plug-in einst gespeichert wurde. Cyberkriminelle können diesen Container ganz einfach klonen oder zu ihren Gunsten nutzen und die Ressource dazu zwingen, Malware anstelle des Plug-ins herunterzuladen. Genau das ist mit dem Tweet-Zähler „New Share Counts“ passiert, der im Cloud-Speicher Amazon S3 gehostet wurde. Nachdem der Support des fraglichen Plug-ins eingestellt wurde, veröffentlichte der Entwickler eine Nachricht diesbezüglich auf der dazugehörigen Website. Das Problem? Mehr als 800 Kunden hatten die Message schlichtweg nicht gelesen. Kurze Zeit später schloss der Plug-in-Autor den in Amazon S3 gespeicherten Container und Cyberkriminelle nutzten die Gunst der Stunde. Sie erstellten einen Speicher mit demselben Namen und platzierten darin ein bösartiges Skript. Webseiten, die das Plug-in weiterhin verwendeten, fingen an, den neuen Code zu laden, der Nutzer direkt zu einer Phishing-Seite umleitete, die, anstelle des Tweet-Zählers, eine nette Prämie für die Teilnahme an einer Umfrage versprach. Wenn Plug-ins den Besitzer wechseln Anstatt ihre Kreationen einfach aufzugeben, entscheiden sich einige Entwickler dazu, diese lieber zu verkaufen – und nicht alle sind besonders wählerisch, wenn es um einen potenziellen Käufer geht. Das bedeutet, dass auch Cyberkriminelle ein Modul im Handumdrehen legal erwerben können. In solchen Fällen kann das nächste Update möglicherweise Malware auf Ihrer Website bereitstellen. Derartige Plug-ins zu entdecken ist leider keine leichte Aufgabe und in den meisten Fällen tatsächlich eine Frage des Zufalls. Behalten Sie die Plug-ins auf Ihrer Website im Auge Wie Sie sehen, gibt es zahlreiche Möglichkeiten eine Website über die darauf installierten Plug-ins zu infizieren. Aus diesem Grund empfehlen wir Ihnen, die Sicherheit der Plug-ins auf Ihrer Website stets im Auge zu behalten. Erstellen Sie eine Liste aller Plug-ins, die auf Ihren Ressourcen verwendet werden und überprüfen und aktualisieren Sie diese regelmäßig. Lesen Sie die Entwicklerhinweise der von Ihnen verwendeten Drittanbieter-Software und der Websites, über die sie verbreitet wird. Aktualisieren Sie Plug-ins regelmäßig. Wenn sie nicht länger unterstützt werden, sollten Sie diese so schnell wie möglich ersetzen oder entfernen. Wenn eine Unternehmenswebsite nicht länger benötigt oder verwendet wird, sollten Sie nicht vergessen, alle Inhalte – inklusive Plug-ins – zu löschen. Es ist lediglich eine Frage der Zeit, bis sich Schwachstellen einschleichen, die Cyberkriminelle ausnutzen könnten, um Ihr Unternehmen zu kompromittieren. Quelle: Kaspersky Bloghttps://www.kaspersky.de/blog/dangerous-plugins/18959/Author: Sergey Golubev

Nach oben scrollen