Die letzten Tage vor Weihnachten sind in der Branche eine Art Saure-Gurken-Zeit, und darüber muss etwas geschrieben werden. Hier haben wir also das Thema: 5 MILLIONEN WORDPRESS-INSTALLATIONEN IN GEFAHR. TÖDLICHE SICHERHEITSLÜCKE IM CONTACT FORM 7 PLUG-IN.
Mehrere – vor allem englischsprachige – Technologieportale berichteten in ihrem Clickbait-Stil über den Fall. Und alles in allem nehme ich ihnen diesen Stil nicht einmal übel – es ist leicht, sich von Emotionen mitreißen zu lassen, wenn man überall 5 MILLIONEN VERZERRTE SEITEN sieht.
Werfen wir also einen Blick darauf, wie die Bedrohung in den Medien der Branche dargestellt wird und wie sie wirklich aussieht:
- Das Contact Form 7 Plugin, laut einigen das beliebteste WordPress Plugin der Welt, hat eine Sicherheitslücke
- Die Schwachstelle ermöglicht es, praktisch jeden Code auszuführen, d.h. die Website vollständig zu übernehmen
- Das Plug-in ist laut Medienberichten 5 Millionen Mal installiert, so dass es sich um ein ernstes Problem handelt – alle diese Websites sind angeblich gefährdet.
Jetzt die Fakten
Erstens hat das Plugin 5 Millionen Installationen im WordPress-Repository – in Wirklichkeit könnte die Zahl sogar doppelt so hoch sein. Wären 10 MILLIONEN VERTRIEBENE PARTEIEN nicht besser?
Um die Sicherheitslücke auszunutzen, muss Ihr Server 4 Bedingungen gleichzeitig erfüllen
- Sie müssen im Formular erlauben, die Datei anzuhängen und hochzuladen – ohne dies gibt es überhaupt kein Problem
- Verzeichnisindizierung aktiviert (d. h. es ist möglich, den Inhalt von Ordnern anzuzeigen, in denen keine Indexdatei vorhanden ist.(php|html)
- Server, der nicht auf Apache läuft, oder mit einem Problem, das verhindert, dass das Plug-in die .htaccess-Datei verwendet, um die Ausführung hochgeladener Dateien zu blockieren
- seltsame Serverkonfiguration, die die Ausführung von PHP-Skripten aus Dateien wie pdf, doc usw. mit doppelter Erweiterung ermöglicht
Das gleichzeitige Auftreten von 4 solcher Bedingungen ist ungefähr so wahrscheinlich wie die Heilung eines offenen Bruchs mit strukturiertem Wasser Eng. Finken. Bei 10 Millionen Installationen kann das schon mal vorkommen, aber wir sollten den Leuten eine Pause gönnen und sie nicht vor Weihnachten erschrecken.
Sich nicht einschüchtern zu lassen ist eine Sache, aber wir sollten auch den Aspekt der Sicherheit nicht unterschätzen. Es gibt bereits einen Patch, lasst uns aktualisieren, lasst uns aktualisieren – es schadet (fast) nie. Silvester unter Ausgangssperre verspricht träge zu werden, aber es ist immer noch besser, es mit Polsat zu verbringen, als WordPress von Malware zu säubern.
