WordPress 4.7.5 schließt Sicherheitslücken
Mit dem Update 4.7.5 wurden wiedermal einige Sicherheitslücken innerhalb des beliebten Content Management Systems WordPress geschlossen. Insgesamt waren es 6 Sicherheitslücken, die die WordPress Community und das WordPress Security Team ausfindig machen konnten. Neben dem Schließen der Sicherheitslücken gab es nur wenige Inhalte in diesem Patch.
Zunächst einmal gab es 2 Anfälligkeiten für Cross-Site Scripting, kurz „XSS“. Davon trat eine Lücke beim Hochladen von sehr großen Dateien auf, während die andere Lücke beim Verwenden des Customizer Tool gefunden wurde. Beim Cross-Site Scripting werden Informationen aus einem anderen Kontext in einen vertrauenswürdigen Kontext eingefügt, um so an sensible Daten zu gelangen. Bei einer anderen Lücke konnte man sich die Webseiten-übergreifende Anfragenfälschung (CSRF) zu Nutze machen, um einen Angriff zu starten. Eine andere Sicherheitslücke entstand durch eine unzureichende Validierung bei Weiterleitungen. Abgesehen von den Sicherheitspatches wurde im WordPress Update 4.7.5 nun auch wieder die Möglichkeit implementiert, mit Shift+Click mehrere Checkboxen auf einmal auszuwählen. Alle Infos zu den Sicherheitslücken und allen anderen Inhalten des Updates finden Sie auf wordpress.org.
Da WordPress mit einem Klick aktualisiert werden kann und gerade Sicherheitspatches immer dringend eingespielt werden sollten, gibt es keinen Grund die eigene WordPress Umgebung nicht zu updaten. Für interessierte Webseitenbetreiber eignen sich unsere neuen WordPress Hosting V3.0 Tarife ideal.
Tags:Content Management System, Sicherheitspatch, WordPress Sicherheitslücke
Alexander Liebrecht
| #
Hallo Marius,
selbstverständlich ist das WP-Update auf Version 4.7.5 nicht an mir vorbeigegangen. Es wurde fleissig und zeitnah installiert, sodass meinen WordPress-Installationen nun besser geht als vorher. Ja, funktionstechnisch kam nichts hinzu, aber den Sicherheitspatch sollte jeder WP-Blogger dringenderweise einspielen.
Was kostet es einen schon, aus dem Backend heraus, das Update anzustossen. Es sein denn, es wird automatisch installiert, wie in meinem Falle. Wo das noch nicht geschehen ist, gilt es meinerseits nachzusehen und das Update zu vollbringen.
Reply
Thomas M.
| #
Wurde denn auch das “noopenner noreferrer” Problem bei Affiliate Links gelöst?
Reply
Harald
| #
Hmm, solange das so ist, sollte man auf target=_blank verzichten, dann werden die Attribute nicht eingefügt.
Eigentlich sollte man immer auf target=_blank verzichten, das ist eine Bevormundung, die ich persönlich nicht mag…ich will selber entscheiden, in welchem Fenster/Tab ein Link geöffnet wird.
Reply