Am 16. Mai 2023 hat das WordPress-Kernteam die WordPress 6.2.1 Version veröffentlicht. Diese Aktualisierung enthält wichtige Patches für insgesamt fünf Schwachstellen. Darunter befinden sich eine mittelschwere Directory-Traversal-Schwachstelle, eine mittelschwere Cross-Site-Scripting-Schwachstel... le und mehrere Schwachstellen niedrigerer Schwere. In diesem Artikel werden wir über die Bedeutung dieser Patches sprechen und warum es wichtig ist, Deine WordPress-Website auf den neuesten Stand zu bringen. Read More

Sicherheitslücken einfach erklärt

Die Begriffe der Sicherheitslücken helfen einem selten weiter, wenn man wissen will, was für Probleme vorhanden sind. Daher haben wir Dir hier die beiden Sicherheitslücken Directory-Traversal und Cross-Site-Scripting einfach erklärt.

Directory-Traversal

Einfach gesagt, versucht hier ein Angreifer Dateien über die URL auszulesen, welche grundsätzlich nicht für die Öffentlichkeit zugänglich sein sollten. Das heisst, grundsätzlich sind Deine Dateien alle im Web-Verzeichnis, die Du auch öffentlich zugänglich machen willst. Diese Dateien kann man über die URL öffnen. Als Beispiel kann man unser Developful Logo über folgende URL im Browser darstellen:

https://www.developful.ch/wp-content/uploads/2022/02/H-Black.png.webp

Dabei sieht man den Pfad wp-content/uploads… usw. Das ist der Standard Pfad, wo man bei WordPress seine öffentlichen Medien abgelegt hat. Nehmen wir jetzt an, jemand will auf die php.ini Datei unseres Web Servers zugreifen. So müsste er einen Weg finden, um im Verzeichnis so weit hochzusteigen, bis er beim Startverzeichnis unseres Servers ist und danach zu den Unterordnern navigiert, wo die Server Konfigurationen sind. Auf den Servern kann man da meist mit ../ zu einem Verzeichnis höher wechseln.

Macht man nun genug oft ../ erreicht man irgendwann das Startverzeichnis des Web Servers und kann danach sich auf die Suche nach den Server Konfigurationen machen, um diese auszulesen. Ein Angreifer kann damit aber auch versuchen auf wichtige Personendaten, Logins oder ähnliches zu kommen und darum ist es so gefährlich, wenn man so einfach über die URL unseren Dateien auf dem Webserver auslesen kann.

Wikipedia hat dazu ebenfalls einen wirklich guten Artikel, der auch verständlich ist: Zu Wikipedia

Cross-Site-Scripting

Cross-Site-Scripting (XSS) ist die weitverbreitete Angriffsmethode zurzeit. Damit versuchen Angreifer auf Deiner Webseite Schadcode auszuführen und das für sich zu nutzen. Weniger lästige Probleme sind dann, dass auf Deiner Webseite pop-ups kommen, die den Benutzer nerven. Grössere Probleme sind es jedoch, wenn z.B. IP-Adressen und weitere Daten von Besuchern über Dein Web Server mittels Schadcode an den Computer des Angreifers sendet. Mit diesen Daten könnten Angreifer versuchen, die Besucher anzugreifen.

Ein XSS-Angriff ist immer möglich, wenn Formular auf dem Server nicht validiert werden. Das heisst, wenn der Server nicht prüft, ob die Eingabe des Formulares Schadcode oder ähnliches besitzt. Wenn man z.B. ein Blog hat, könnte jemand ein Kommentar mit folgendem Code schreiben:

<script>alert(«haha Du hast eine Sicherheitslücke»);</script>

Dieser Code würde bei dem Blogartikel die Meldung «haha Du hast eine Sicherheitslücke» als Pop-Up darstellen. Du siehst damit, wie einfach diese Angriffe sind und das bietet leider auch die Möglichkeit, dass man mittels Bots, diese Angriffe automatisieren kann. Daher empfehlen wir es auf die WordPress 6.2.1 Version zu aktualisieren.

Rückportierung der Patches für WordPress

Was diese Aktualisierung noch wichtiger macht, ist die Tatsache, dass die Patches seit der Version 4.1 auf alle WordPress-Versionen zurückportiert wurden. Dies bedeutet, dass gepatchte Versionen für alle Hauptversionen seit 4.1 verfügbar sind. Du kannst Deine Website also ohne Bedenken aktualisieren, da Kompatibilitätsprobleme vermieden werden. Dies ist ein grosser Vorteil für Website-Betreiber, da es Dir ermöglicht, Deine Websites auf dem neuesten Stand zu halten, ohne auf bestimmte Funktionen oder Designs verzichten zu müssen.

Die Bedrohung durch die Schwachstellen

Insbesondere eine der Schwachstellen, die in der Version WordPress 6.2.1 gepatcht wurden, ist von grosser Bedeutung. Ein Angreifer mit einem Konto auf der Ebene «Mitwirkender» und niedrigen Privilegien könnte diese Schwachstelle ausnutzen, um die Kontrolle über eine Website zu übernehmen. Dies verdeutlicht die Dringlichkeit der Aktualisierung Deiner WordPress-Website, um sicherzustellen, dass sie vor potenziellen Angriffen geschützt ist.

Überprüfe Deine WordPress-Website

Um festzustellen, ob Deine WordPress-Website bereits automatisch auf eine der gepatchten Versionen aktualisiert wurde, solltest Du dies überprüfen. Gehe sicher, dass Deine Website die erforderlichen Sicherheitsupdates erhalten hat, um Deine Daten und die Integrität Deiner Website zu schützen.

Wenn Du genau wissen willst, was alles behoben wurde, kannst Du das bei WordPress nachlesen: Zu WordPress