500.000 Websites durch WordPress-Fehler gefährdet

Aufgrund einer Schwachstelle in einem WordPress-Plugin sind jetzt offenbar mehr als eine halbe Million Websites gefährdet. Hacker könnten die Websites übernehmen, aber glücklicherweise scheint es eine Lösung für dieses Problem zu geben.

Mehr als eine halbe Million Websites sind von einer Sicherheitslücke in einem beliebten Plug-in für WordPress betroffen, der Plattform, auf der viele Websites laufen. Das berichtet die Website BleepingComputer. Durch das Leck könnten Hacker die Websites aus der Ferne übernehmen. Am 25. Januar entdeckte das Online-Sicherheitsunternehmen Patchstack ein Leck im WordPress-Plugin „Essential Addons for Elementor“.

Das Plug-in ersetzt den Standard-Website-Editor und bietet somit mehr Freiheit bei der Erstellung und Anpassung der Website. Die Freiheit der Anpassung ist jedoch weit weniger wichtig, wenn plötzlich jemand anderes Ihre Website übernimmt. Patchstack meldete den Fehler noch am selben Tag an WordPress, woraufhin die Muttergesellschaft Automattic das Leck am 28. Januar schloss. Die Sicherheitslücke im WordPress-Plugin wurde durch ein Update behoben. Viele Menschen haben das Update jedoch noch nicht heruntergeladen, was bedeutet, dass viele Websites immer noch gefährdet sind.

Die Popularität von WordPress

WordPress wird auf der ganzen Welt eingesetzt, und die Plattform bildet die Grundlage für zig Millionen Websites. Für Websites, die WordPress verwenden, gibt es inzwischen Zehntausende von Plug-ins, aber leider sind nicht alle gleich sicher.

Glücklicherweise verwenden nicht alle Websites das Plug-in „Essential Addons for Elementor“. Die von WordPress veröffentlichten Statistiken deuten darauf hin, dass über eine Million Nutzer betroffen sind. Nach Angaben von BleepingComputer haben bereits rund 380.000 Websites das Update installiert. Dies bedeutet, dass etwa 600.000 Websites immer noch gefährdet sind. Der Sicherheitsforscher Wai Yan Muo Thet hat bereits zweimal versucht, die Sicherheitslücke zu schließen.

Nach Angaben von BleepingComputer war dem Entwickler des Plug-ins die mögliche Sicherheitslücke der Software bereits bekannt. Nach zwei Versuchen, das Problem selbst zu lösen, kam Patchstack nach gründlichen Tests zu dem Schluss, dass die Schwachstelle immer noch vorhanden ist. In Version 5.0.5 des Plug-ins scheint das Problem endlich behoben zu sein.