Nach dem Sicherheitsupdate auf Version 4.2.3 vor 14 Tagen bekamen die meisten Admins einer WordPress-Seite heute die Email mit dem Betreff „Deine Website wurde auf WordPress 4.2.4 / 4.1.7 aktualisiert„.
Mit dem Update auf Version 4.2.4 (bzw. 4.1.7 für ältere Installationen) sind diese Admins, die ihre Systeme auf Automatik-Update eingestellt haben, wieder auf der sichere(re)n Seite.
Wer die Update-Automatik nicht benutzt, sollte sein WordPress-System jetzt dringend manuell updaten. Damit werden dann sechs verschiedene Angriffsszenarien unmöglich gemacht:
Eine der Sicherheitslücken erlaubte potenziell das Einschleusen von Datenbankbefehlen (SQL-Injection), durch drei davon konnte ein Angreifer beliebigen Programmcode in die Seiten einschleusen (Cross-Site-Scripting, XSS). Außerdem verhindert das Update einen Side-Channel-Angriff und beseitigt einen Fehler, durch den Angreifern die Bearbeitung eines Beitrags verhindern konnten.