WordPress MySQL Injection – auf Version 4.8.3 dringend updaten

Wordpress MySQL InjectionMit dem Update auf WordPress 4.8.3 schließt das Entwickler-Team von WordPress diverse Hintertüren (Vulnerabilities) insbesondere wegen WordPress MySQL Injection!

 

Insgesamt sind 11 CVE-Listungen (WordPress Vulnerabilities) vorhanden, für Versionenen vor 4.8.3!

Das Update wurde bereits am 31.10.2017 heraus gegeben! Es wird also dringend Zeit, für Webspace-Inhaber, die laufende WordPress-Blogs laufen haben, diese schnellstens auf die neueste Version upzudaten bzw. die eingebundenen Plugins zu prüfen!

Was ist ein WordPress MySQL-Injection?

Mittels normaler HTML-Aufrufe (URL) können vom Hacker, teils cryptisch Datenbank-Abfragen/Anweisungen gesendet werden, die dann von der Datenbank beantwortet bzw. ausgeführt werden! So kann ein Hacker User-Daten / Passwörter auslesen, sonstige Konfigurations-Daten erspähen, neue User in WordPress anlegen, neue Artikel veröffentlichen, ggf. auch Dateien mit in den Webspace einschmuggeln bzw. die volle Kontrolle über den Webspace erlangen!

Wie sieht z.B. eine solche MySQL-Injection aus:

Nehmen wir an, Ihre Seite arbeitet auf der Domain http://www.1awww.info – so würde der Versuch eines Injection z.B. wie folgt aussehen:

http://www.1awww.info?sql=SELECT *&nbsbp;FROM passwoerter;

Es wird also an die Auswertung der Variable sql, die vom zuständigen Script unter Umständen so ausgewertet wird, mit gesendet: SELECT * FROM passwoerter;

Ist das Script, daß direkt aufgerufen wird, schlecht programmiert, führt es diesen Datenbank-Befehl aus und gibt in der Webseite die Rückmeldung aller Passwörter! Dies ist nur ein sehr einfaches Beispiel und Hacker sind in der Lage, hier ganz komplexe Scripte mit der URL mit zu senden!

Daher ist es wichtig zu verstehen:

Wer WordPress oder Joomla verwendet, muß dafür sorgen, daß diese Pakete stets upgedatet werden, weil ansonsten die große Gefahr besteht, daß von Hackern in diese Webspaces eingebrochen wird und diese für illegale Aktivitäten missbraucht werden!

Hacker sind oftmals später nicht durch Staatsorgane zurück verfolgbar und Kunden bleiben dann leider auf zerstörten Websites oder schlimmer mit den Folgen und Schäden, die diese böse Verwendung des gehackten Webspaces verursacht haben, sitzen!

Beachten Sie, als Webseiten-Betreiber sind Sie voll haftbar für Schäden, die durch Ihren Webspace verursacht werden, denn Sie sind verantwortlich dafür, daß die eingesetzten Programme ordnungsgemäß sind und gepflegt werden!

Wenn Sie nicht die Zeit haben, sich um die Pflege der Updates zu kümmern, sollten Sie ansonsten einen Update-Dienst, den wir auch sehr kostengünstig (siehe hier) anbieten, beauftragen!

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.