WordPress-Benutzer aufgepasst: WP Super Cache und W3TC mit großer Sicherheitslücke

Ich kenne einen Haufen Blogger, die faul sind. Update-faul. Da blinken seit Wochen die Plugins auf, für die eine neuere Version bereitsteht und der geneigte Blogger übersieht das einfach. Das mag bei bestimmten Plugins unwichtig sein, da vielleicht nur Features hinzukommen, im konkreten Falle sollte man aber sofort die Plugins WP Super Cache und W3TC aktualisieren, sofern eingesetzt. Insgesamt zählen diese Plugins 6 Millionen Downloads, gut möglich, das einer von euch auch auf diese Caching-Plugins setzt. Beide Plugins haben eine größere Sicherheitslücke, wie bei Sucuri berichtet wird. So ist es möglich, über die Schwachstelle eine  Remote Code Execution (RCE) auszuführen. Hier können zum Beispiel Angreifer Code-Schnipsel in Kommentare einfügen, auf die der Server dann Antwort gibt. Wer Disqus oder andere Kommentarsysteme einsetzt, ist nicht betroffen. Also: wacker Update machen!

WordPress

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

19 Kommentare

  1. Danke für den Hinweis!

  2. Bei solchem Meldungen bitte immer die Versions-Nummer angeben, in der die Lücken behoben sind…sonst macht das ganze keinen Sinn…

  3. @caschy Benutzt du eigentlich ein Caching-Plugin? Ich habe mehrere getestet, nun aber wieder entfernt :/

  4. @de.merq: nein, habe einen ganzen Caching-Server hier sitzen-

  5. da muss ich Gl4di4t0r leider zustimmen.
    Solche Meldungen verbreiten doch nur Panik, zumindest ohne die Angabe der Versionsnummer.
    Ist die Lücke nun bei WP Super Cache 1.3.1 vorhanden?
    Vielleicht testet ihr mal selbst, beschrieben wird dies ja im Artikel von Sucuri unter „Why Such a Big Deal?“

  6. Recht coole Alternative für kleinere Blogs… cachify.de von Sergej Müller.

  7. Also ich nutzte really-static das ist noch um einiges schneller & sicherer, da man seine wp-Installation auch komplett unsichtbar machen kann.

  8. Hallo Caschy,

    vielen Dank für den Hinweis. Auch ich benutze WP Super Cache und war eigentlich bis jetzt immer sehr zufrieden mit dem Plugin. Von der großen SIcherheitslücke habe ich allerdings nichts gewusst. Werde es jetzt mal mit einem sicheren Plugin ersetzen.

    Gruß
    Rene

  9. Beim Cachify sind sehr merkwürdige Effekte bei mir aufgetreten. Zum einen ging Google Adsense nicht mehr und zum anderen konnte man sich in Verbindung mit einem Antispammodul irgendwann nicht mehr einloggen. Ebenso gab es dadurch Verbindungen nach Rumänien… Mir hätte das Modul sonst sehr gut gefallen, weil es einfach einfach ist.

  10. Diese Plugin Problematik entsteht aber auch wenn man mehrere Blogs betreibt und somit jeden Blog immer auf dem neuesten Stand halten will. Gerade ich war bei sowas ein Paradebeispiel… – War! Denn ich habe mittlerweile alles in Multi-User-Netzwerks aufgebaut und da bietet mir WordPress halt einfach den Vorteil dass ich mit einem Klick gleich alle Blogs geupdated habe… – Problem auf der anderen Seite kann aber auch sein, dass ich mir mit dem einen Klick mal schnell alle Blogs zerschieße – wie vor ein paar Wochen bei BackWPup…

  11. Für alle, die Versionsnummern vermisst haben: Das sind Fehler-bereinigte Versionen der Plugins:

    W3 Total Cache 0.9.2.9
    WP Super Cache 1.3

  12. Danke Sergej!
    Bei WP Super Cache 1.3.1 habe ich den Fehler auch nicht feststellen können.

  13. Hallo,

    Jup, waren selber betroffen, obwohl wir regelmäßig updaten. Wenns aber dumm läuft, ist der Angreifer schneller als die Entwickler mit einem Update! @Sergej: Hätte Dein http://wpantivirus.de/ geholfen? Der scannt ja auch nach Codeänderung?

  14. Toll, wegen diesem blöden W3TC wuurde mein Webspace vorübergehend wegen abuse deaktiviert. Nun muss ich bis zum nächsten Werktag warten, um aktivieren bitten, das blöde W3TC entfernen und dann zusichern, dass alles gelöscht wurde. Nie wieder W3TC… Ich werde mal das Cachify probieren. Bei dem Programmierer weiß ich wenigstens, dass er Qualität liefert…

  15. Haha, da war ich kurz geschockt, inzwischen ist schon 1.3.2 raus…

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.