WordPress DOS-Verwundbarkeit und Fehler im Autoupdater

WordPress gegen DOS-Attacke schützen

In der vergangenen Woche ist ein Angriffsszenario auf WordPress bekannt geworden, mit dem ganze Server relativ einfach lahmgelegt werden können. Dabei handelt es sich um eine sogenannte Denial of Service (DOS) Attacke, bei der ein Server so lange mit Anfragen überschüttet wird, bis er nicht mehr auf die echten Anfragen von interessierten Besuchern antworten kann.

In diesem konkreten Fall ist es möglich, die Datei load-scripts.php mit so vielen gleichzeitigen Anfragen zu bewerfen, dass das System weitgehend lahmgelegt wird.

How to DoS 29% of the World Wide Websites

Die Kollegen von Pixelbar haben sich derweil damit beschäftigt, wie sich diese spezielle Attacke aufhalten lassen könnte. Durch Einsatz und richtige Konfiguration des Server-Moduls Fail2Ban können wiederholte Angriffe blockiert werden, noch bevor diese den Webserver erreichen.

WordPress CVE-2018-6389 Lücke mit Fail2ban absichern

Manuelle WordPress-Updates nötig!

Seit Version 3.7 genießen die meisten WordPress-Anwenderinnen und -Anwender den Luxus des automatischen WordPress-Updaters. Neue Versionen werden (recht zuverlässig) automatisch installiert und Sicherheits-Updates bis zurück zu eben jener Version 3.7 nachgehalten.

Bei der Aktualisierung auf WordPress 4.9.3 vergangene Woche kam es jedoch zu einem kleinen Missgeschick, das weitere automatische Updates verhindert. Mit der kurz darauf veröffentlichten Version 4.9.4 wurde dieser Fehler zwar wieder behoben, auf den meisten Seiten wird das fehlerhafte Update aber wohl bereits installiert sein, sodass hier nun ein manuelles Update nötig wird.

Ein WordPress-Update lässt sich im Backend unter Dashboard / Aktualisierungen ausführen. Weil das Autoupdate auch im funktionsfähigen Zustand nur WordPress selbst, nicht aber zusätzliche Plugins und Themes umfasst, lohnt sich ein regelmäßiger Besuch auf dieser Seite in jedem Fall.

Weiterführende Informationen →