Millionen Websites durch Wordpress-Lücke gefährdet

Wie der Sicherheitsexperte Jouko Pynnonen berichtet, handelt es sich bei der aktuellen Lücke um die schwerwiegendste seit 2009. Angreifer könnten per Kommentarfeld Javascript-Befehle einschleusen und sich so Zugang zu Administratorfunktionen beschaffen. Gefährdet sind laut Pynnonen alle Wordpress-Installationen mit den Versionen 3.0 bis 3.9.2, bei Version 4.0 wurde die Schwachstelle geschlossen.

Das Problem tritt demnach in der Formatierungsfunktion wptexturize() auf. Um sich zu schützen, könne man die Funktion deaktivieren, Pynnonen hat auch ein Plugin dafür entwickelt. Besser sei es jedoch, den entsprechenden offiziellen Patch zu installieren, der auch andere Sicherheitslücken schließt.