Sucuri (ein Sicherheitsunternehmen) hat den Fehler entdeckt und das WordPress-Sicherheitsteam am 20. Januar informiert.<\/p>\n
Was war der Fehler?<\/h3>\n
Ein so genannter Endpunkt erlaubte \u00fcber die API Artikel zu bearbeiten, anzulegen und zu l\u00f6schen.<\/strong> Daf\u00fcr war nur eines n\u00f6tig: die \u00dcbergabe einer Artikel-ID die in der Datenbank gar nicht existierte. Dadurch wurde die \u00dcberpr\u00fcfung der Rechte deaktiviert und ein m\u00f6glicher Angreifer konnte ungehindert Daten \u00fcberschreiben.<\/p>\n Ich habe im Mai-Newsletter detailliert beschreiben, was die WordPress REST-API ist und wof\u00fcr man sie verwenden kann<\/a>. Nun entstehen nat\u00fcrlich hitzige Diskussionen dar\u00fcber, ob die REST-API \u00fcberhaupt ben\u00f6tigt wird und warum diese standardm\u00e4\u00dfig aktiv ist. Meine Meinung dazu ist, dass wir nicht an ihr vorbeikommen. Denn mit den neuen technischen M\u00f6glichkeiten werden immer mehr Plugin- und Theme-Entwickler sie nutzen und dann muss sie ohnehin wieder aktiviert werden.<\/p>\n Updaten! Bitte updaten Sie Ihre WordPress-Seite so schnell es geht auf die aktuellste Version. In vielen F\u00e4llen ist das sicherlich schon automatisch geschehen.<\/p>\n Einem Support-Ticket zufolge erschienen am Anfang auf einer gehackten Website Phrasen wie:<\/a><\/p>\n In den meisten F\u00e4llen werden Hacker nicht versuchen, ihre Seite zu l\u00f6schen. Im Gegenteil. Sie werden Inhalte erg\u00e4nzen um f\u00fcr mehr SEO-Spam zu sorgen. Das hei\u00dft: Backlinkaufbau f\u00fcr irgendwelche anderen Webseiten, wie Sucuri beschreibt<\/a>.<\/p>\n Mittlerweile wird den WordPress-Machern „Verharmlosung“ vorgeworfen (siehe Heise-Online-Artikel, dt.<\/a>). Immerhin nutzen mittlerweile mehr als 27% aller Internet-Seiten WordPress. Viele davon werden oft nicht geupdatet, vielleicht auch, weil der Webhoster die automatischen Updates nicht unterst\u00fctzt. Ob man ihnen jedoch „Verharmlosung“ vorwerfen kann, will ich nicht beurteilen. Immerhin muss bei solchen Bugs erst einmal der Ball flach gehalten werden. Man darf auch nicht vergessen, dass es sich immerhin um ein Open-Source Projekt handelt bei dem viele Freiwillige mitarbeiten. Und genauso sind nat\u00fcrlich andere Systeme (von Drupal bis Joomla) von Sicherheitsl\u00fccken betroffen. Letztlich k\u00f6nnte ein Hacker auch Zugriff zu Ihren E-Mails haben ohne das sie es merken. Nicht selten schweigen die Hersteller bis zum n\u00e4chsten Update. Da finde ich es doch besser, offen und ehrlich zu sein.<\/p>\n Absolute Sicherheit gibt es eben nicht. Deshalb gilt die oberste Regel: machen Sie Updates!<\/strong><\/p>\n Interessanterweise wurden zur gleichen Zeit, als die Sicherheitsl\u00fccke in WordPress aufgeploppt ist, auch massiv E-Mails von Google versandt. Darin stand, man solle doch bitte seine WordPress-Installation updaten. Zu aller erst: Ja, die E-Mails sind in der Regel echt. Google verschickt sie, wenn Sie Ihre Website in den Webmaster-Tools<\/a> hinterlegt haben. Der Suchmaschinen-Gigant erkennt die Version an einem (nicht sichtbaren) HTML-Tag, der standardm\u00e4\u00dfig eingef\u00fcgt wird. Dort ist die Version hinterlegt und so kann sie auch abgeglichen werden.<\/p>\n Die \u00dcberpr\u00fcfung geschieht nicht in live. Das hei\u00dft, dass solche E-Mails teilweise Tage versp\u00e4tet eintreffen k\u00f6nnen. Das geht aus den E-Mails aber nicht hervor und stiftet daher Verwirrung. Ein Google-Mitarbeiter hat angek\u00fcndigt den Text zu \u00fcberarbeiten.<\/p>\n Wie ich im Januar beschrieben habe, legt WordPress nun den Fokus auf den Customizer, die REST-API und den Editor.<\/a> Die Arbeiten am Editor haben schon begonnen und es gibt sogar einen kleinen Protoypen zum Testen<\/a>. Getauft wurde er „Gutenberg“.<\/p>\n Am Anfang (der Entwicklung des Prototyps) wurde gefragt, wie denn die User eigentlich den Editor<\/a> nutzen, denn Statistiken dazu gibt es nicht. Immerhin erfasst WordPress keine (oder nur wenige) Daten der Benutzer. Aber das soll sich nun \u00e4ndern, wie WP-Tavern beschreibt<\/a>. Einen geeigneten Vorschlag<\/a> zur Erhebung von Telemetrie-Daten gibt es schon.<\/p>\n Scott Arciszewski (bekannt f\u00fcr seine Arbeit in der Kryptographie) musste mal seinen Frust von der Seele schreiben. Er kritisierte Matt Mullenweg \u00f6ffentlich auf Medium.com zum Thema Sicherheit (ja, noch ein Sicherheitsthema!). Sein Vorwurf: Matt k\u00fcmmere sich zu wenig um die Sicherheit von WordPress. Im Auge hatte er wohl das Update-System von WordPress welches nicht gen\u00fcgend gesch\u00fctzt sei. Tats\u00e4chlich gab schon einmal eine Sicherheitsl\u00fccke dazu (ich berichtete im Dezember davon<\/a>). Seiner Meinung nach m\u00fcsse der Update-Mechanismus digital unterzeichnet sein damit sichergestellt sei, dass niemand versucht, angepasste Dateien \u00fcber ein automatisches Update einzuspielen. Dazu hat er sogar einige Code-\u00c4nderungen bei WordPress eingereicht. Allerdings wurde er dann von einem Core-Entwickler gebremst, was wiederum wohl f\u00fcr den Frust sorgte.<\/p>\n Seinen Artikel bei Medium ist zwischenzeitlich gel\u00f6scht. \u00dcber die Wayback-Machine<\/a> (en.) kann man ihn trotzdem noch lesen. Matt hat dann auf diesen Artikel geantwortet<\/a> (en.) und Scott mitgeteilt, dass diese Baustelle nach hinten verschoben werden m\u00fcsste, da eine solche digitale Unterzeichnung auch serverseitig unterst\u00fctzt werden muss. Und das brauche Zeit.<\/p>\nWas war noch einmal die REST-API und warum braucht man sie?<\/h3>\n
Was kann man tun?<\/h3>\n
<\/a>Wie erkenne ich, ob ich gehackt wurde?<\/h3>\n
\n
Wie geht’s weiter?<\/h3>\n
\n<\/a>WordPress News<\/h2>\n
![\"Meta-Generator-Tag](\"http:\/\/revue.local\/wp-content\/uploads\/2017\/02\/wordpress-meta-generator-300x74.jpg\")
<\/a>
\n
\n
\n
\n