WordPress-Benutzer aufgepasst: WP Super Cache und W3TC mit großer Sicherheitslücke
von caschy | 19 Kommentare
Ich kenne einen Haufen Blogger, die faul sind. Update-faul. Da blinken seit Wochen die Plugins auf, für die eine neuere Version bereitsteht und der geneigte Blogger übersieht das einfach. Das mag bei bestimmten Plugins unwichtig sein, da vielleicht nur Features hinzukommen, im konkreten Falle sollte man aber sofort die Plugins WP Super Cache und W3TC aktualisieren, sofern eingesetzt. Insgesamt zählen diese Plugins 6 Millionen Downloads, gut möglich, das einer von euch auch auf diese Caching-Plugins setzt. Beide Plugins haben eine größere Sicherheitslücke, wie bei Sucuri berichtet wird. So ist es möglich, über die Schwachstelle eine Remote Code Execution (RCE) auszuführen. Hier können zum Beispiel Angreifer Code-Schnipsel in Kommentare einfügen, auf die der Server dann Antwort gibt. Wer Disqus oder andere Kommentarsysteme einsetzt, ist nicht betroffen. Also: wacker Update machen!
Wird geladen ...
Danke für den Hinweis!
Bei solchem Meldungen bitte immer die Versions-Nummer angeben, in der die Lücken behoben sind…sonst macht das ganze keinen Sinn…
@caschy Benutzt du eigentlich ein Caching-Plugin? Ich habe mehrere getestet, nun aber wieder entfernt :/
@de.merq: nein, habe einen ganzen Caching-Server hier sitzen-
da muss ich Gl4di4t0r leider zustimmen.
Solche Meldungen verbreiten doch nur Panik, zumindest ohne die Angabe der Versionsnummer.
Ist die Lücke nun bei WP Super Cache 1.3.1 vorhanden?
Vielleicht testet ihr mal selbst, beschrieben wird dies ja im Artikel von Sucuri unter „Why Such a Big Deal?“
Recht coole Alternative für kleinere Blogs… cachify.de von Sergej Müller.
Also ich nutzte really-static das ist noch um einiges schneller & sicherer, da man seine wp-Installation auch komplett unsichtbar machen kann.
Hallo Caschy,
vielen Dank für den Hinweis. Auch ich benutze WP Super Cache und war eigentlich bis jetzt immer sehr zufrieden mit dem Plugin. Von der großen SIcherheitslücke habe ich allerdings nichts gewusst. Werde es jetzt mal mit einem sicheren Plugin ersetzen.
Gruß
Rene
Beim Cachify sind sehr merkwürdige Effekte bei mir aufgetreten. Zum einen ging Google Adsense nicht mehr und zum anderen konnte man sich in Verbindung mit einem Antispammodul irgendwann nicht mehr einloggen. Ebenso gab es dadurch Verbindungen nach Rumänien… Mir hätte das Modul sonst sehr gut gefallen, weil es einfach einfach ist.
Diese Plugin Problematik entsteht aber auch wenn man mehrere Blogs betreibt und somit jeden Blog immer auf dem neuesten Stand halten will. Gerade ich war bei sowas ein Paradebeispiel… – War! Denn ich habe mittlerweile alles in Multi-User-Netzwerks aufgebaut und da bietet mir WordPress halt einfach den Vorteil dass ich mit einem Klick gleich alle Blogs geupdated habe… – Problem auf der anderen Seite kann aber auch sein, dass ich mir mit dem einen Klick mal schnell alle Blogs zerschieße – wie vor ein paar Wochen bei BackWPup…
Für alle, die Versionsnummern vermisst haben: Das sind Fehler-bereinigte Versionen der Plugins:
W3 Total Cache 0.9.2.9
WP Super Cache 1.3
Danke Sergej!
Bei WP Super Cache 1.3.1 habe ich den Fehler auch nicht feststellen können.
Hallo,
Jup, waren selber betroffen, obwohl wir regelmäßig updaten. Wenns aber dumm läuft, ist der Angreifer schneller als die Entwickler mit einem Update! @Sergej: Hätte Dein http://wpantivirus.de/ geholfen? Der scannt ja auch nach Codeänderung?
@Fabian
AntiVirus überwacht nur Themes, keine Plugins.
Toll, wegen diesem blöden W3TC wuurde mein Webspace vorübergehend wegen abuse deaktiviert. Nun muss ich bis zum nächsten Werktag warten, um aktivieren bitten, das blöde W3TC entfernen und dann zusichern, dass alles gelöscht wurde. Nie wieder W3TC… Ich werde mal das Cachify probieren. Bei dem Programmierer weiß ich wenigstens, dass er Qualität liefert…
Haha, da war ich kurz geschockt, inzwischen ist schon 1.3.2 raus…