Govcert warnt vor Wordpress-Lücken

Das "Computer Emergency Response Team" (Govcert) der Schweizer Regierung, eine Unterorganisation der Melde- und Analysestelle Informationssicherung (Melani), warnt vor Sicherheitslücken in Wordpress.

Bereits im April dieses Jahres hatte die Bundesbehörde über eine Lücke mit der Bezeichnung CVE-2015-3440 in Wordpress informiert, die Javascript betraf. Über diese Schwachstelle konnten Nutzer sogenannte Cross-Site-Scripting-Attacken (XSS) auf Websites fahren. Auf diesem Weg können sensible Daten gestohlen oder auch die ganze Seite übernommen werden.

Viele tausend Seiten potenziell gefährdet

Am 6. Mai ist erneut eine Schwachstelle in Wordpress bekannt geworden, welche die Bezeichnung CVE-2015-3429 trägt. Auch über diese können XSS-Attacken ausgeführt werden. Die Lücke betrifft das populäre Plug-in "Jetpack". Diese Schwachstelle wurde bereits aktiv ausgenutzt, bevor Wordpress am 7. Mai einen Patch bereitstellen konnte.

In der Schweiz werden rund 124'000 Seiten mit dem CMS Wordpress betrieben, wie Govcert schreibt. Davon seien noch mehr als 70 Prozent mit einer älteren Version unterwegs, die für die oben genannten Schwachstellen anfällig sein könnte. Govcert habe daher einen Prozess zur Benachrichtigung der zuständigen Hosting-Provider angestossen.

Die Spitze des Eisbergs

Die Lücken in Wordpress nutzt Govcert gleichzeitig dazu, um das mangelhafte Update-Verhalten viele Administratoren zu kritisieren. Govcert befürchtet, dass es auch bei anderen CMS wie Typo3, Joomla und Drupal noch viele weitere Schwachstellen durch veraltete Versionen geben könnte. Bei den jetzt bekannt gewordenen Sicherheitslücken spricht die Behörde daher von der "Spitze des Eisbergs".

Govcert rät daher allen Administratoren, ihre Websites immer auf dem neusten Stand zu halten. Auf der Webseite von Melani gibt es zudem Informationsmaterialien auf Deutsch, Französisch, Italienisch und Englisch, wie sich CMS sichern lassen.