Sicherheitslücke in „WordPress SEO-Plugin by Yoast“

Sicherheitslücke in WordPress-Plugin
© Olivier Le Moal - Fotolia.com

Am 11. März wurde bekannt gegeben, dass das beliebte „WordPress SEO-Plugin by Yoast“ eine gravierende Sicherheitslücke enthält, die es Angreifern ermöglicht, einen Zugang zur Datenbank einer Website herzustellen und Inhalte durch SQL-Anfragen zu manipulieren.

Der Yoast-Mitarbeiter Ryan Dewurst hat den Fehler entdeckt. Bereits kurz darauf wurde ein Update zum Schließen der Sicherheitslücke zur Verfügung gestellt. Betroffen von der Sicherheitslücke sind alle Versionen bis 1.7.3.3. Das Update auf die neueste Version wird von Yoast dringend empfohlen.

„WordPress SEO-Plugin by Yoast“

WordPress gehört zu den weltweit erfolgreichsten Content-Management-Systemen. Durch zahlreiche Plugins wird sogar die kostenfreie Erstellung eines Customer-Relationship-Managements ermöglicht. Zu den beliebtesten Plugins zählt das „WordPress SEO-Plugin by Yoast“. Das Plugin wird von einer Million Websites weltweit aktiv benutzt und wurde schon ca. 16 Millionen Mal heruntergeladen. Das SEO-Plugin vom WordPress-Experten Joost de Valk liefert unter anderem eine Analyse des Keyword-Vorkommens, eine Seiten-Analyse und eine Einbindung von Social-Media-Elementen.

Sicherheitslücke ermöglicht unberechtigten Zugang

Das Sicherheitsproblem bestand aus einer sogenannten Cross-Site-Request-Forgery-Lücke (CSRF). Durch eine Blind-SQL-Injection könnte ein Angreifer auf geheime Daten zugreifen oder sich Administrations-Rechte an einer WordPress-Site sichern. Um diese Sicherheitslücke auszunutzen, müsste man jedoch einen autorisierten Nutzer dazu bewegen, auf einen speziellen Link zu klicken. Dies könnte dazu führen, dass der Angreifer Zugang zu der Datenbank und zu einzelnen Webapplikationen erhält.

Bereits im Februar wurde eine Sicherheitslücke in dem WordPress Plugin WP-Slimstat entdeckt, wobei ebenfalls ersichtlich wurde, dass man durch SQL-Injections auf Daten zugreifen und diese manipulieren kann. Auch im November des vergangenen Jahres gab es gravierende Sicherheitsprobleme in Bezug auf den WordPress-Blog.


Yana Kazachkova