Die WordPress-Seuche

von |8. Mai 2015|IT-Sicherheit|2 Kommentare|

Ich habe es satt. Mein Blog läuft selbst auf WordPress und ich habe noch 2-3 andere WordPress-Installationen, aber der aktuelle Handlings-Aufwand um diese Sachen „sicher“ zu halten steht in keinem ertragbaren Verhältnis mehr.

WordPress hat sich von einem kleinen „pain in the ass“ zu einer regelrechten Security-Seuche entwickelt. Seit der „It’s not a bug, it’s a feature!“-Pingback-Schwachstelle hört es gefühlt nicht mehr auf. Aktuell ist das Standard-Theme von WordPress anfällig. Die geniale readme.html, die die aktuelle WordPress-Version einer Installation auf dem Silbertablett in die Öffentlichkeit posaunt und auch immer schön nach einem Update wieder da ist, sorgt bei mir immer noch für verständnisloses Kopfschütteln.

Aber das gute ist: Hat man eine aktuelle Installation und es existiert noch nicht eimal ein Zero-Day-Exploit für WordPress, kann man sich im Zweifel immer noch auf ein verwundbares Plugin verlassen. Sicher ist, dass viele WordPress-Installationen einfach nur unsicher sind. Vollgestopft mit irgendwelchen Plugins, selten regelmäßig aktualisiert, ist WordPress des Pentesters Liebling geworden.