Was ist gerade passiert? Letzte Woche erhielt der Großteil von zwei Millionen WordPress-Websites ein erzwungenes Sicherheitsupdate aufgrund eines kritischen Fehlers in einem Plugin, das zur Datensicherung verwendet wird. Die Schwachstelle könnte es unbefugten Benutzern ermöglichen, Sicherungskopien von WP-Sites herunterzuladen.
Am vergangenen Donnerstag wurde ein Sicherheitsupdate für das UpdraftPlus-Plugin für WordPress-Websites veröffentlicht, um eine schwerwiegende Sicherheitslücke zu schließen. Die Entwickler hielten den Fehler für dringend genug, um ein erzwungenes Update zu rechtfertigen.
UpdraftPlus wird verwendet, um das Herunterladen und Wiederherstellen von Backups für WordPress-Sites zu vereinfachen. JetPack-Entwickler fanden während eines internen Audits von UpdraftPlus eine Schwachstelle bei der Suche nach verlorenen Berechtigungen, die es unbefugten Benutzern ermöglichen könnte, auf dieses gespeicherte Spiel zuzugreifen. Normalerweise sollten nur Administratoren Zugriff darauf haben. Laut UpdraftPlus-Charts haben am Donnerstag rund 1,7 Millionen Websites das Update heruntergeladen.
JetPack und UpdraftPlus haben vor dem Fehler gewarnt. Websites, die ihre Backups verschlüsseln, sind weniger anfällig, und die Entwickler von UpdraftPlus stellen fest, dass WordPress ihre gespeicherten Passwörter hasht, was sie vor Hackern schützen sollte, die unverschlüsselte Backups erhalten. JetPack sagt, dass die meisten WordPress-Sites aktualisiert wurden, und drängt diejenigen, die den neuesten UpdraftPlus-Patch nicht installiert haben.
Schwachstellen in WordPress-Plugins werden zu einem immer ernsteren Problem. Ein Bericht einer Sicherheitsgruppe vom letzten Monat besagte, dass 2021 mehr Schwachstellen gemeldet wurden als 2020 und dass drei Viertel der Plug-in-Fehler bekannt waren.