Dazu gehören WordPress, Composr und SugarCRM. Eine sichere Hashing-Funktion ist nur bei rund 40 Prozent der Systeme voreingestellt. Ab Werk lassen WordPress und Drupal sogar einzelne Zeichen als Passwörter für Nutzerkonten zu. weiter

Auslöser ist ein Streit mit den Moderatoren des WordPress-Forums. Sie stellen neue Regeln für die Veröffentlichung von Sicherheitslücken auf, an die sich das Unternehmen nicht hält. Die Schwachstellen in den Facebook-Plug-ins erlauben CSRF-Angriffe. weiter

Er gibt sich als Sicherheitsforscher aus und warnt Kunden vor angeblichen Schwachstellen. Sein Angriff bleibt nicht lange unbemerkt und löst ein Dementi des Herstellers aus. Der setzt nun seinen Server und auch alle Kundenpasswörter zurück. weiter

Betroffen ist ein Plug, das bei der Umsetzung der Datenschutzgrundverordnung hilft. Es erlaubt das Ändern wichtiger CMS-Einstellungen. Angreifer können unter anderem ein neues Administrator-Konto einrichten und den Eigentümer der Seite aussperren. weiter

Der Code führt Nutzer zu Seiten mit betrügerischem Technik-Support. Als Einfallstor dienen offenbar veraltete Plug-ins und Themes. Die Hacker verwenden zudem einen kürzlich entdeckten Fehler in Google Chrome, um Nutzer auf den betrügerischen Seiten zu halten. weiter

WordPress kennt die Schwachstelle schon seit Anfang 2017. Ein erster Patch bringt nicht den gewünschten Erfolg. Hacker können weiterhin mithilfe von speziell präparierten Thumbnail-Dateien Schadcode einschleusen und ausführen. weiter

Hacker schleusen schädliche Skripte unter anderem in die WordPress-Datenbank ein. Die Skripte führen den Keylogger und auch einen Krypto-Miner aus. Die aktuelle Angriffswelle betrifft fast 2100 Websites. weiter

Betroffen sind die Versionen 4.8.2 und früher. Ein Angreifer kann unter Umständen die vollständige Kontrolle über eine Website übernehmen. Das Problem wird durch einen Sicherheitspatch in Version 4.8.2 ausgelöst, der bis zu 1,2 Millionen Zeilen Programmcode unbrauchbar macht. weiter

Sie liegen nur knapp vor den großen US-Telekommunikationsanbietern. Die bilden mit einem von fünf möglichen Sternen das Schlusslicht. Bestnoten erhalten unter anderem Adobe, Dropbox, Pinterest, Uber und WordPress.com. weiter

Sie erlaubt nicht autorisierten Nutzern, beliebige Inhalte zu ändern oder zu veröffentlichen. Unter Umständen kann ein Angreifer auch Schadcode einschleusen und ausführen. Davon betroffen ist nur die im Januar veröffentlichte Version 4.7. weiter

Sie stecken in der Version 4.7.1 und früher. Ein Patch soll verhindern, dass Plug-ins oder Themes für eine SQL Injection benutzt werden. Das Content Management System ist außerdem anfällig für Cross-Site-Scripting. weiter

Die Schwachstelle erlaubte es Angreifern, auf api.wordpress.org eigenen Code auszuführen und so auf etwa einem Viertel aller Websites weltweit beliebige Inhalte zu publizieren. Gefunden wurde sie von dem auf WordPress spezialisierten Unternehmen WordFence. weiter

Sucuri warnt vor einer Cross-Site-Scripting-Lücke in Jetpack. Sie lässt sich über speziell präparierte Kommentare ausnutzen. Ein Angreifer kann so JavaScript-Code einschleusen und unter Umständen Spam einfügen oder Besucher auf gefährliche Websites umleiten. weiter

Sucuri analysierte über 11.000 kompromittierte Websites im ersten Quartal 2016. Besonders häufig fielen Schwachstellen in erweiterbaren CMS-Komponenten wie Plug-ins und Themes auf. Die Kernanwendung von WordPress spielte bei den beobachteten Hackerangriffen nur selten eine Rolle. weiter

Kriminelle können damit das Suchmaschinenranking ihrer Domains beeinflussen. Die Infektion kann sowohl über Lücken im CMS wie über Entwicklungsrechner erfolgen. Avast hat bisher über 70 Millionen Dateien mit solchem Code gefunden. weiter

Es wird ein Zusammenarbeit mit Automattic entwickelt und im Quelltext verfügbar sein. Kleineren Verlage soll so die Teilnahme an Facebooks Programm für von ihm gehostete Mobilseiten erleichtert werden. Zu Googles quelloffener Alternative AMP liegt ein solches Plug-in schon vor. weiter