WordPress veranlasst Entwickler zu Patch von Kontaktformular-Plug-in

Der Entwickler eines beliebten WordPress-Plug-ins hat vergangene Woche eine kritische Lücke in seinem Code erst nach direkter Aufforderung durch das Security-Team von WordPress geschlossen. Frühere Warnungen ignorierte er. Der britische Sicherheitsspezialist Sucuri berichtet, die Schwachstelle „vor einigen Wochen“ gemeldet zu haben, erhielt aber keine Antwort.

Der Fehler im Plug-in Custom Contact Forms ermöglichte es Angreifern, komplette Websites zu übernehmen. Sucuri-Sprecher Marc-Andre Montpas formulierte seine Kritik als Rat an WordPress-Nutzer: „Aufgrund der wenig reaktionsfreudigen Art des Entwicklungsteams würden wir Sie ermutigen, bei Bedarf an WordPress-Formularen auf andere Quellen zurückzugreifen. Es gibt da zahlreiche Optionen von sehr aufgeschlossenen Entwicklern, die sich aktiv um Ihre Sicherheitsanforderungen kümmern. Die verbreitetsten sind wohl JetPack und Gravity Forms.“

Custom Contact Forms ist 600.000-mal heruntergeladen worden und auf tausenden Blogs im Einsatz. Die Entwicklungsleitung liegt bei Taylor Lovett, der seit vielen Jahren zum Erfolg von WordPress beiträgt. Lovett scheint es auch gewesen zu sein, der nach Kontaktaufnahme durch WordPress Security den Patch veranlasste. Das Plug-in war zuvor 16 Monate nicht aktualisiert worden.

Sucuri zufolge ermöglichte der Fehler Angreifern, ohne Authentifizierung und aus der Ferne die WordPress-Datenbank herunterzuladen und zu modifizieren. Betroffen ist jede Website, die das Plug-in in einer anderen Version als der von vergangener Woche nutzt.

Lovett verspricht jetzt zusätzlich einen Major Release von Custom Contact Forms in den nächsten Monaten. „Das Plug-in wird von Grund auf neu gestaltet und wird großartig werden“, sagte er TechWeekEurope.

Zur Sicherheit von WordPress-Plug-ins im Allgemeinen kommentiert Mark Sparshott von Proofpoint, viele Seiten setzten alte Versionen ein, weshalb sie ein bevorzugtes Angriffsziel von Cyberkriminellen seien. „Das gilt insbesondere für kleine Firmen, die einen Drittanbieter mit der Entwicklung und dem Hosting ihrer Website beauftragen, denen aber nicht klar ist, dass der Eigentümer später die Verantwortung dafür trägt, Updates einzuspielen.“ Das Sicherheitsunternehmen empfiehlt daher, in einem solchen Fall gleich bei der Erstellung automatische Hintergrund-Updates für WordPress aktivieren zu lassen.

Die Content-Management-Systeme Drupal und WordPress hatten vergangenen Woche zudem gemeinsam eine Sicherheitslücke geschlossen, die einen Denial-of-Service-Angriff erlaubt. Betroffen waren Drupal Core 6.x und 7.x sowie WordPress 3.9.1 und früher, 3.8.3 und früher sowie 3.7.3 und früher.

[mit Material von Max Smolaks, TechWeekEurope.co.uk]

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.