XSS-Sicherheitslücke macht mehrere WordPress-Plugins unsicher

Wie der sucuri-Blog meldet, sind offenbar mehrere WordPress-Plugins für Cross-Site-Scripting (XSS) anfällig geworden. Grund hierfür ist ein Missbrauch der Funktionen add_query_arg() sowie remove_query_arg(), die für das Hinzufügen und Ändern von query-strings in URLs innerhalb von WordPress von Entwicklern genutzt wird. Da die offizielle WordPress-Dokumentation für diese Funktionen leider etwas missverständlich geschrieben wurde, haben einige Entwickler die Funktionen fehlinterpretiert und Ihre Plugins somit unsicher gemacht.

WordPress

Zuerst ist Joost, der Entwickler eines der bekannteren SEO-Plugins „WordPress SEO by Yoast“, auf diesen Umstand in einigen seiner Plugins aufmerksam geworden. Sucuri setzte sich mit ihm in Verbindung, um den Vorfall genauer zu untersuchen. Wie sich herausstellte, sind die Plugins von Joost nicht die einzigen, die von der nun auftretenden Sicherheitslücke betroffen sind. Eine Liste der aktuell bekanntesten Plugins sieht in etwa so aus:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

Höchstwahrscheinlich ist die Liste noch um einiges länger, denn Sucuri hat „lediglich“ die Top 300-400 Plugins für WordPress untersucht und es gibt eine ganze Menge mehr Plugins. Daher wird allen WordPress-Admins dringend empfohlen, sich in das Admin-Backend einzuloggen und veraltete Plugins zu aktualisieren und weitere Plugin-Updates im Auge zu behalten. Sucuri hat bereits so viele Entwickler wie nur möglich angeschrieben, um sie auf die Sicherheitslücke aufmerksam zu machen.

Für die WordPress Plugin-Entwickler unter Euch rät Sucuri folgendes:

„if you’re a developer, check your code to see how you are use these two functions:

add_query_arg
remove_query_arg

Make sure you are escaping them before use. We recommend using the esc_url() (or esc_url_raw()) functions with them. You should not assume that add_query_arg and remove_query_arg will escape user input. The WordPress team is providing more guidelines on how to use them here.“

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Nerdlicht in einer dieser hippen Startup-Städte vor Anker. Macht was mit Medien... Auch bei den üblichen Kandidaten des sozialen Interwebs auffindbar: Google+, Twitter, Xing, LinkedIn und Instagram. PayPal-Kaffeespende an den Autor.

11 Kommentare

  1. ^ Meldungen wie diese sind der Hauptgrund, wieso ich meine WordPress-Sachgen nach und nach durch statische Blogs (Pelican) ersetze. Es wird langsam wirklich unfein.

  2. Die Entwickler von Automattic und Yoast haben mittlerweile reagiert und Jetpack und WordPress SEO upgedatet.

  3. Wundert mich jetzt irgendwie nicht. Die WordPress Doku ist in großen Teilen echt ein Graus.

  4. Nur gut, dass ich auf Drupal arbeite 😉

  5. Denis Denic says:

    @Erik. Darum ist seine Domain wohl auch von der Denic „gekapert“ 🙂

  6. Irgendwelche Lücken hat doch jedes System. Nur habe ich das Gefühl, das WordPress deutlich häufiger durch derartiges auffällt. Insofern bevorzuge ich lieber CMS, die schon möglichst viel mit integriert haben und man nicht auf Erweiterungen von Drittanbietern angewiesen ist. Wenn man Pech hat, kümmert sich der Entwickler nicht mehr darum oder es dauert mehrere Wochen bis zum Update.

    In meinen Augen ist WordPress immer noch ein reiner Blog, der sicherlich nicht unbedingt unzählige Features benötigt. Wer es zur normalen Website, am besten noch mit irgendeinem integrierten Shop, umfunktionieren muss, ist m. E. selbst schuld.

    Bei WordPress fehlt es in meinen Augen an zu vielen Basics. Keine Mehrsprachigkeit ohne Erweiterung, selbst für SEO ist man auf Drittanbieter-Lösungen angewiesen und selbst Funktionen wie den Artikel als PDF herunterladen o. ä. gibt es nicht mal von Haus aus. Da kann man schon fast, falls es kein Blog mit regelmäßigen Inhalten sein soll, schon fast besser die blöden Homepage-Baukästen nehmen.

  7. Nicht WordPress ist das problem, sondern die Plugins. WordPress selbst erhielt zwar gestern auch ein Update, aber das eigentliche Problem sind viele schlecht programmierte Free Plugins.

    Siehe auch: http://fastwp.de/4632/

    Ich nutze WordPress auch weiterhin. Mag das CMS und passe entsprechend auf.

  8. Betrifft das dann auch die letzte Version von Slim Jetpack? Das dürften ja etliche Seiten alternativ zum offiziellen Jetpack-Plugin im Einsatz haben.