Die enorme Beliebtheit von WordPress wird manchmal auch zu einem Problem. Insbesondere dann, wenn Schwachstellen innerhalb des Programms als potenzielle Angriffsziele für Hacking-Attacken identifiziert werden. Doch WordPress reagiert gewöhnlich sehr schnell und veröffentlich kontinuierlich Sicherheits-Updates. Eines der wichtigsten Sicherheits-Updates – WordPress 4.2.4 – ist am 04.08.2015 veröffentlicht worden und steht Ihnen zum Download bereit. WordPress schließt damit gleich sechs gravierende Sicherheitslücken. Wenn Sie die automatische Update-Funktion allerdings deaktiviert haben, sollten Sie Ihre WordPress-Version jetzt schnellstmöglich manuell updaten.
Um welche Sicherheitslücken geht es?
Bei den sechs Sicherheitslücken, die vom aktuellen WordPress Sicherheits-Update geschlossen werden, handelt es sich um:
-
- eine Schwachstelle, die Hackern unter Umständen die Möglichkeit eröffnet, Ihre WordPress-Installation per SQL-Injection anzugreifen. Bei einer SQL-Injektion können Angreifer Zugang auf Ihre Datenbanken erlangen und zum Beispiel Daten ausspähen oder manipulieren, Schadcode einschleusen und vieles mehr.Mehr Informationen zum Thema SQL-Injection
- drei weitere sicherheitsrelevante Schwachstellen sind Cross-Site-Scripting-Lücken. Auch beim Cross-Site-Scripting handelt es sich um eine Form der HTML-Injection, wobei Informationen aus einem vertrauenswürdigen Kontext ungeprüft in sensible Bereiche übertragen werden, um dort Angriffe auszuführen, Schadcode zu implementieren oder sensible Benutzerdaten abzugreifen.Mehr Informationen zum Thema Cross-Site-Scripting
- mit dem neuen Sicherheits-Update wird auch eine fünfte Schwachstelle geschlossen, die unter Umständen Rechenzeitangriffe (timing attacks) ermöglichen könnte. Durch Laufzeitanalysen (eine besondere Form von Seitenkanalattacken) lassen sich zum Beispiel über charakteristische Eingabemuster Verschlüsselungsverfahren knacken.
Mehr Informationen zum Thema Seitenkanalattacken
- die sechste Schwachstelle, die mit dem Sicherheits-Update WordPress 4.2.4 bereinigt wird, betrifft eine Lücke, durch die Hacker Artikel und Beiträge unbefugt bearbeiten könnten, um diese zum Beispiel zu verändern, zu löschen oder Schadcode zu platzieren.
Wie installieren Sie das WordPress Sicherheits-Update 4.2.4?
Core-Entwicklungsupdates, Wartungs- und Sicherheitsupdates, unter die auch das Sicherheits-Update WordPress 4.2.4 fällt, werden seit der Version WordPress 3.7 automatisch im Hintergrund ausgeführt. Haben Sie WordPress standardmäßig installiert, so brauchen Sie in der Regel nichts weiter zu unternehmen. Ihre WordPress-Installation aktualisiert sich selbst.
Sofern Sie allerdings die automatische Update-Funktion deaktiviert haben, sollten Sie jetzt umgehend handeln und WordPress schnellstmöglich manuell aktualisieren – am besten noch heute.
Alternativ stehen Ihnen auch für ältere WordPress-Versionen wie zum Beispiel den 4.1er-, 4.0er-, 3.9er-, 3.8er- und 3.7er-Zweig Sicherheits-Updates bereit.
Automatische WordPress-Hintergrund-Aktualisierung wieder aktivieren
Sollte die automatische Hintergrund-Aktualisierung Ihrer WordPress-Installation aktuell deaktiviert sein, so können Sie diese schnell und einfach wieder aktivieren. Gehen Sie dazu bitte wie folgt vor:
Wählen Sie sich über ein FTP-Programm in das WordPress-Verzeichnis auf Ihrem Hosting-Paket ein.
Öffnen Sie die wp-config.php Datei mit einem Texteditor.
- Suchen Sie den Eintrag define( ‚AUTOMATIC_UPDATER_DISABLED‘, true );
- Löschen Sie diesen, denn mit diesem Befehl werden in der Regel alle automatischen WordPress-Updates deaktiviert.
- Speichern Sie die Änderung.
Anschließend sollten WordPress-Sicherheits-Updates wieder automatisch eingespielt werden.
Sie haben Fragen oder Anregungen zum Thema Sicherheits-Update WordPress 4.2.4? Schicken Sie uns einen Kommentar. Wir freuen uns über Ihr Feedback.
