Millionen von WordPress-Sites werden automatisch aktualisiert, um Sicherheitslücken zu beheben

Was ist gerade passiert? Letzte Woche wurde der größte Teil von zwei Millionen WordPress-Sites aufgrund eines schwerwiegenden Fehlers in einem Plugin, das zur Datensicherung verwendet wird, mit einem erzwungenen Sicherheitsupdate versehen. Die Schwachstelle könnte es unbefugten Benutzern ermöglichen, Backups von WP-Sites herunterzuladen.

Am vergangenen Donnerstag wurde ein Sicherheitsupdate für das UpdraftPlus-Plug-in für WordPress-Sites veröffentlicht, um eine kritische Schwachstelle zu beheben. Die Entwickler hielten den Fehler für dringend genug, um ein erzwungenes Update zu rechtfertigen.

UpdraftPlus wird verwendet, um das Herunterladen und Wiederherstellen von Backups von WordPress-Sites zu vereinfachen. Entwickler bei JetPack fanden während eines internen Audits von UpdraftPlus eine Schwachstelle in einer fehlenden Berechtigungsprüfung, die unbefugten Benutzern den Zugriff auf diese Backups ermöglichen könnte. Normalerweise sollten nur Administratoren Zugriff darauf haben. Laut den Charts von UpdraftPlus haben am Donnerstag rund 1,7 Millionen Websites das Update heruntergeladen.

Sowohl JetPack als auch UpdraftPlus haben Warnungen vor dem Fehler veröffentlicht . Websites, die ihre Backups verschlüsseln, sind weniger gefährdet, und UpdraftPlus-Entwickler stellen fest, dass WordPress seine gespeicherten Passwörter hasht, was sie vor Hackern schützen sollte, die unverschlüsselte Backups erhalten. JetPack gibt an, dass die meisten WordPress-Sites aktualisiert wurden, und fordert diejenigen, die dies noch nicht getan haben, auf, den neuesten UpdraftPlus-Patch zu installieren.

WordPress-Plugin-Exploits werden zu einem immer schwerwiegenderen Problem. Ein Bericht einer Sicherheitsgruppe vom letzten Monat besagte, dass im Jahr 2021 mehr Schwachstellen gemeldet wurden als im Jahr 2020 und dass drei Viertel der Plugin-Fehler bekannte Exploits hatten.