Wie im Blog der englischen Webseite sucuri.net berichtet wird, sind die beiden großen Caching Plugins WP Super Cache und W3 Total Cache von einer Sicherheitslücke betroffen. Durch diese Sicherheitslücke kann fremder Code über die Webseite ausgeführt werden.
Würde ein User in einem Kommentar einen PHP Code hinterlegen, würde dieser automatisch durch Sicherheitsmechanismen unschädlich gemacht, der Code würde nicht ausgeführt. Die oben genannte Sicherheitslücke verhindert das jedoch. Der Code wird ausgeführt. Ein einfacher Test zeigt, ob dein Blog von der Sicherheitslücke betroffen ist. Erstelle einen neuen Kommentar und füge folgenden Code ein:
<!–mfunc echo PHP_VERSION; –><!–/mfunc–>
Übermittel den Kommentar dann an dein WordPress System. Wird der Code ausgeführt, müsste in dem Kommentar lediglich die Nummer der PHP Version deines Webservers vermerkt sein. Das würde bedeuten, dass dein System durch die oben genannte Sicherheitslücke angreifbar ist.
Steht lediglich der oben genannte Codeschnipsel in dem Kommentar, filtert dein WordPress System den Code und alles ist in Ordnung.
Laut sucuri.net gibt es für beide Plugins bereits einen Sicherheitspatch. Diese sollten auf allen Webseiten so schnell wie möglich installiert werden, um mögliche Schäden zu vermeiden.
Üble Sache…
Hi Jan,
ja allerdings. Das kann richtig übel enden 🙂 Kann ich aus Erfahrung sagen.