WP & Plugin-Quicktipp: Dringendes Sicherheitsupdate beim beliebten WordPress Plugin MailPoet

|1 Kommentar

Wie gestern bekannt wurde, haben die Entwickler von SUCURI im beliebten Newsletter WP-Plugin MailPoet (wysija-newsletter) eine gravierende Sicherheitslücke entdeckt, die es Angreifern ermöglicht Schadcode auf den Webspace einzuschleusen (siehe Beitrag im Blog von SUCURI.)

Was jetzt zu tun ist und Tipps, was man als Website-Betreiber beachten sollte…

Immer wieder kommt es zu Hacking-Versuchen oder Einschleusen von Schadcode in Plugins des beliebten Content Management & Blog-System WordPress. Dass man nicht gänzlich davor gefeit ist, auch einmal Opfer eines solchen Angriffs zu sein ist klar und schon zahlreich veröffentlicht und diskutiert worden. Allerdings hat man als Website-Betreiber durchaus Möglichkeiten, das Risiko von Angriffen zu minimieren (gänzlich ausschließen wird man es vermutlich nie können).

Was ist zu tun?

Im aktuellen Fall des Plugins MailPoet sollte man dringend ein Plugin-Update vornehmen, das der Entwickler auch bereits herausgegeben hat. Wie WP-Tavern berichtet, ist die aktuelle, gestern auf wordpress.org veröffentlichte Version 2.6.7 die einzige sichere Version und sollte schnellstmöglich installiert werden.

Update 06.08.2014: Weitere Sicherheits-Updates für MailPoet erschienen!

Wie Heise online berichtet, gab es auch in der Nachfolgeversion noch eine Sicherheitslücke, die nun gestopft ist. Die bei Heise noch beschriebene aktuelle Version 2.6.9 ist mittlerweile durch die Version 2.6.10 ersetzt worden. Den genauen Update-Verlauf kann man im Changelog des MailPoet-Plugins auf wordpress.org nachsehen. Dort ist das Plugin auch zum Download verfügbar.

Tipp: Wer MailPoet einsetzt, dem sei empfohlen sich das Changelog und die Hinweise im Dashboard von WordPress zum Update der Plugins regelmäßig anzusehen, um auf dem Laufenden zu bleiben! Grundsätzlich sollten Plugins zeitnah und umfassend auf den neuesten Stand gebracht werden.  Weitere Tipps siehe unten.

Kann das immer wieder vorkommen?

Ja, zuletzt war es das ebenfalls sehr beliebte WP-Plugin All in One SEO Pack, das dringend aktualisiert werden musste. Und auch MailPoet wird nicht das letzte Plugin sein, bei dem eine Sicherheitslücke bekannt wird, die ein Patch (s. Wikipedia) oder auch Bugfix, also das Stopfen einer solchen Lücke durch ein Update benötigt.

Wie kann man sich vor Viren & Schadcode schützen?

Grundsätzlich sollten Website- bzw. Blogbetreiber (bei selbstgehosteten Blogs) immer darauf achten, alle herausgegebenen Aktualisierungen zeitnah vorzunehmen. Das schließt sowohl die von WordPress herausgegebenen Software-Updates als auch die der verwendeten Plugins ein.

Je beliebter eine Software oder ein Plugin desto größer natürlich auch die Gefahr, dass das auch Hackern oder Internet-Kriminellen nicht verborgen bleibt und sie versuchen, Schlupflöcher für das Einschleusen von Schadcode zu finden. Einen vollumfänglichen Schutz kann hier wohl niemand gewährleisten. Auch der Grad des Sicherheitsempfindens mag von jedem Websitebetreiber oder -verantwortlichen anders eingeschätzt werden.

Ich rate jedoch dazu, regelmäßige Updates vorzunehmen bzw. vornehmen zu lassen. WordPress selbst nimmt kleinere Software-Updates – soweit nicht vom Betreiber abgeschaltet – seit Jahresanfang nun automatisiert vor und informiert via Mail, ob das Update  installiert werden konnte oder nicht. Die großen Updates, die mit einem Versionsnummernwechsel verbunden sind z.B. von 3.8 auf 3.9 werden nicht automatisiert ausgeliefert und sollten daher selbst vorgenommen werden.

Tipps & Infos zu WordPress & Sicherheit

Fazit:

WordPress ist und bleibt eine der beliebtesten Content Management Systeme,  die ich sowohl Bloggern als auch Unternehmen und Unternehmern für ihren Corporate Blog oder die eigene Website nur empfehlen kann.
Dennoch ist es wie beim Autofahren: Ohne regelmäßige Wartung ist ein Blog irgendwann ein Wrack und müsste vermutlich wegen eklatanter Sicherheitsmängel aus dem Verkehr gezogen bzw. stillgelegt werden.
Also sollte man weder beim Auto noch beim eigenen Blog auf eine regelmäßige Wartung und Sicherheitsupdates verzichten.

Teile diesen Beitrag

Autor: Martina Troyer

Martina Troyer ist Kommunikationswirtin und freiberuflich als Online-Redakteurin, PR & Social Media Consultant tätig. Sie entwickelt Webstrategien, optimiert Websites, erstellt Corporate Blogs und berät Unternehmen & UnternehmerInnen zu PR, Social Media & Online-Reputation - rund um einen gelungenen Auftritt im Web 2.0. Als Event-Reporterin ist sie mit ihrem Team auf Messen, Konferenzen & Events aus Kultur, Wirtschaft und Unterhaltung unterwegs - mit Social Media & Event-Reportagen. Daneben interessiert sie sich für Event- & Lifestyle-Themen und gibt das Ü30-Online-Magazin ThirtyUp heraus. Einen Überblick gibt's auch auf Martina Troyer zu sehen. Im Web findet man sie u.a. auch auf XING, Twitter und Facebook.

Ein Kommentar

  1. Pingback: MailPoet-newsletters gehackt | WordPress lernen

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.