Nicht nur die meisten Blogger bauen auf das CMS WordPress, sondern auch viele andere Menschen und Firmen betreiben ihre Internetseiten auf WordPress-Basis.

Nach dem Sicherheitsupdate auf Version 4.2.3 vor 14 Tagen bekamen die meisten Admins einer WordPress-Seite heute die Email mit dem Betreff „Deine Website wurde auf WordPress 4.2.4 / 4.1.7 aktualisiert„.

Mit dem Update auf Version 4.2.4 (bzw. 4.1.7 für ältere Installationen) sind diese Admins, die ihre Systeme auf Automatik-Update eingestellt haben, wieder auf der sichere(re)n Seite.

Wer die Update-Automatik nicht benutzt, sollte sein WordPress-System jetzt dringend manuell updaten. Damit werden dann sechs verschiedene Angriffsszenarien unmöglich gemacht:

Eine der Sicherheitslücken erlaubte potenziell das Einschleusen von Datenbankbefehlen (SQL-Injection), durch drei davon konnte ein Angreifer beliebigen Programmcode in die Seiten einschleusen (Cross-Site-Scripting, XSS). Außerdem verhindert das Update einen Side-Channel-Angriff und beseitigt einen Fehler, durch den Angreifern die Bearbeitung eines Beitrags verhindern konnten.