WordPress 5.2 – Supergau abgewendet

Eine Gefahr ist nun durch sichere Auto-Updates durch Signaturprüfung gebannt.

Fast ein Drittel (über 10 Millionen) aller Webseiten mit WordPress als CMS (Content Management System) hätten von Angreifern bisher auf einmal gekapert werden können. Ein Großteil der Webseiten und Betreiber von Websites nutzen diese Funktion, die standardmäßig aktiviert ist, falls die Provider und deren Hosting-Umgebung der WordPress-Installation dies zulassen.

Jedoch barg die Funktion auch großes ernstes signifikantes Risiko

Mit nur einem gezielten Angriff hätte man Millionen Seiten infizieren können bzw. mit Schadsoftware ausstatten können, mit dem Update auf Version 5.2 schiebt WordPress diesem beängstigenden Angriffsszenario einen Riegel vor. Dadurch konnte ein Supergau vermieden werden, sofern die neue Version installiert bzw. upgedatet worden ist.

Das MAG Team hat bereits alle Webseiten mit der Version 5.2 ausgestattet

Wie schon in der Vergangenheit stellt unser Team sofort Ressourcen zu Verfügung, um auf solche Szenarien zu reagieren und zu agieren. Nach Prüfung der Funktionalität der zusätzlich genutzten Bordmitteln wie Plugins und ersten Tests die innerhalb kürzester Zeit stattfanden, konnten sofort alle Installationen auf dem MAG Host (IONOS bzw. 1&1 als Partner) mit der neusten Version versehen werden.

Hintergrund Informationen

Ab der Version 5.2 gibt es „Offline Digital Signaturen“, um die Auto-Update-Pakete abzusichern. Jede WordPress-Installation bekommt nun einen öffentlichen Schlüssel, mit dem die digital signierten WordPress-Update-Dateien überprüft werden kann. Beim ersten Update innerhalb der Version 5.2.x wird zwar „nur“ eine Warnung an den Administrator der Installation ausgeben falls die Signatur eines Updates nicht korrekt ist, jedoch ab der folgenden Version werden Updates ohne gültige Signaturen dann gar nicht mehr zu installieren sein.