Beim letzten Mal hat WordPress still und leise eine sehr grobe Sicherheitslücke geschlossen und wenige Tage später wurden über 100’000 WordPress Seiten – die nicht akutalisiert worden sind gehackt. Das gab einige Aufregung (Hilfe ein Kurde hat mein Blog gehackt was muss ich jetzt tun?).

Und jetzt gut einen Monat später hat WordPress mit dem Sicherheitsupdate 4.7.3 6 grosse Sicherheitslücken geschlossen, auch wurden 39 Bugs noch geflickt.

Die geschlossenen Sicherheitslücken sind

• Cross-Site-Scripting-Lücke über Metadaten von Medien-Dateien.
• Control-Zeichen können die URL-Validierung für Redirects austricksen.
• Administratoren können ungewollte Dateien über die Löschfunktion für Plugins entfernen.
• Cross-Site-Scripting-Lücke via Video-URLs in YouTube-Embeds.
• Cross-Site-Scripting-Lücke über Namen von Taxonomie-Termen.
• Cross-Site-Request-Forgery in Press This, was zu exzessiver Nutzung von Server-Ressourcen führt.

Ich empfehle jedem dieses Update durchzuführen – bei den Meisten läuft es eh automatisch. Ich würde auch nicht zu lange mit dem Updaten warten, denn es gibt bereits Scripts mit denen man andere ungesicherte WordPress Installationen schädigen kann – genau mit diesen Sicherheitslücken.

Aber bevor ihr das Update macht, vergisst nicht ein schönes Backup zu machen !