WordPress Sicherheitsupdate 4.6.1 veröffentlicht
Nicht lange ist es her, seitdem die neue WordPress Version „Pepper“ veröffentlicht wurde. Am 07.09.2016 war es nun Zeit für das erste Update, welches zwei Sicherheitslücken schloss und einige Fehler behob, die in der vorherigen Version auftraten.
Das erste Sicherheitsproblem bezieht sich auf Cross Site Scripting, auch XSS genannt. Es ist eine der am meisten verwendeten Angriffstechniken für Websites, bei der Schadcode in eine sonst vertrauenswürdige Website injiziert wird. Das gelang in diesem Fall über den Dateinamen eines Bildes. Die zweite Lücke war eine Anfälligkeit für Directory Traversal Attacken beim Hochladen von Erweiterungen. Dabei manipulieren Angreifer die Pfadangaben von Programmen so, dass auf sensible Daten und Verzeichnisse zugegriffen werden kann. Beides sind etwas größere Sicherheitslücken, daher empfehlen wir Ihnen wärmstens, das Update so schnell wie möglich einzuspielen. Kunden, die unser WordPress Hosting und unseren WordPress Update Service nutzen, müssen das Update natürlich nicht selbst vornehmen – das übernehmen wir 🙂
Dazu behebt WordPress 4.6.1 noch kleinere 15 Fehler, die durch die Hilfe der Community entdeckt werden konnten.
Hallo Nicolas,
ich sehe, ihr habt einen neuen Autoren bekommen? Oder war es schon immer so? Zum Thema: Ich habe natürlich die letzten WP-Updates emsig eingespielt, was auch so sein musste. Ich vermute mal, dass es da draussen weiterhin veraltete WP-Versionen im Einsatz sind. Diejenigen Blogger sollten sich einfach mit der WordPress-Installation mehr befassen und alles lernen. WP-Updates sind ja wesentlich schneller zu machen als bei anderen OpenSource CMS und das weiss ich aus Erfahrung.
Übrigens empfehle ich wärmstens den Einsatz des WP-Plugins Wordfence. Es bietet eine hervorragende Blog-Sicherheit und alle Feinde, die zum Login wollen, werden gesperrt. Man muss es richtig hart einstellen und schon hat man die Ruhe und ein bisschen mehr Mail-Benachrichtigungen, dass ein Fremder sich einloggen wollte. Dieses Plugin gönne ich nun nach und nach allen meinen WP-Blogs, sodass das erst einmal steht.
Wordfence ist sehr umfangreich und sicherlich wert, es sich anzusehen.
Hallo Nicolas,
>Schadcode in eine sonst vertrauenswürdige Website injiziert
mit Schadcode habe ich eine ganze Weile ernsthafte Probleme gehabt obwohl ich mein WordPress immer auf dem neusten Stand hatte.
Seit ein paar Monaten ist aber Ruhe. Ich hatte immer den Hoster im Verdacht.
Das WP-Plugin Wordfence hatte ich mal auf einem Blog im Einsatz. *hmm* ich weiß gar nicht mehr warum ich das dann wieder deaktiviert habe. Wahrscheinlich weil auf einmal Ruhe war mit den Exploits.
Bei meinen WP Installationen mit dem CPanel Scriptinstaller ist es so eingestellt das Automatisch ein Update gemacht wird.
Gut das Update ist nun ja auch schon eine Weile her und das nächste wird nicht lange auf sich warten lassen.
Grüße Lothar
Ob das WP-Plugin Wordfence so der Heilige Gral ist. Ich weiß nicht. Ich kenne einen Internetspammer, der versucht mich damit von seinem Stammblog #1 fernzuhalten. Nur leider bin ich nicht von Vorgestern, sondern von Vorvorgestern und weiß wie ich solche lachhaften Sperren umgehen kann.
Hey zusammen,
ich setze eigentlich auch immer auf Wordfence. Das ist mit Sicherheit nicht der heiligeGral (das ist kein Security Plugin), aber es bietet schon einige nützliche Funktionen, die zusätzliche Sicherheit bieten. Alleine bringt das natürlich nix, wenn man dann zB einfache PW mehrmals nutzt, veraltete Plugins oder ne alte WP Version hat…
Ich finde es erstaunlich wie schnell WordPress immer mit neuen Updates kommt. Kaum hat man die neuste Version auf seinem System kommt schon nach zwei Tagen das nächste Update raus. Hat jemand vllt. erfahrung mit automatischen Updates, die sich bei neuen Updates allein installieren? Ich hab es bis jetzt immer vermieden, da ich angst habe das etwas crasht und ich das komplette System wieder neu aufsetzen muss. Würde mich mal interessieren.
Besten Dank
Chris
Hallo Chris,
mit deinem Frust über die häufigen WordPress Updates bist du sicher nicht allein. Deswegen haben wir unseren Update Service ins Leben gerufen.
Generell funktioniert die Autoupdate-Funktion von WordPress ganz gut. Jedoch hat es auch schon Probleme bei Updates gegeben. Ohne nachträgliche Prüfung und ein regelmäßiges Backup für den Fall der Fälle kann es durchaus zu Ausfällen kommen.