Buggy WordPress Plugin ermöglicht es Benutzern, ganze Websites zu löschen
Sicherheitsforscher mit Wordfence – einem sicherheitsorientierten Plugin für WordPress – haben einen kritischen Fehler in einem anderen Plugin für die Publishing-Plattform gefunden. Das Problem wurde im HashThemes Demo Importer Addon für WordPress entdeckt und der Schweregrad des Problems ist ziemlich hoch.
Der Fehler im HashThemes Demo Importer-Plugin ermöglichte es einem Benutzer, der sich bei der WordPress-Plattform angemeldet hat und Zugriff auf das Backend einer Website hat, alle Inhalte, einschließlich Seiten, Artikel und Medien, sowie die Inhalte der von der Website verwendeten Datenbanken vollständig zu löschen. Laut Statistik war das Plugin auf etwa 8 Tausend Websites aktiv, als der Fehler entdeckt wurde.
Der ursprüngliche Zweck des Demo-Importer-Plugins besteht darin, WordPress-basierten Site-Administratoren den Import von Demos von visuellen WordPress-Themen und -Designs mit einem einzigen Klick zu ermöglichen. Das Plugin beschleunigt den Vorschauprozess erheblich und erfordert keine manuelle Handhabung verschiedener Einstellungsdateien, die für die verwendete Site und das verwendete Design spezifisch sein können.
Das Team von Wordfence hat den Fehler nach ordnungsgemäßem Protokoll bekannt gegeben, aber der Entwickler des Demo-Importeurs reagierte wochenlang nicht. Schließlich brachten die Forscher das Problem direkt an das WordPress-Plugins-Team und die fehlerhafte Version des Plugins wurde noch am selben Tag entfernt. Vier Tage später wurde eine gepatchte und behobene Version wieder aufgesetzt.
Wordfence erklärte, dass das Problem mit dem Plugin in der Art und Weise lag, wie es Ajax verwendet. Der Fehler ermöglichte es jedem angemeldeten Benutzer, selbst mit sehr eingeschränkten Standardrechten und -zugriffen wie Abonnenten, drastische Änderungen an der Website vorzunehmen, einschließlich des vollständigen Löschens aller Inhalte auf der Website, auf der das Plugin ausgeführt wird.
Die einfache Erkenntnis hier ist, dass jedes praktische Plugin, das Sie möglicherweise zu Ihrem bestehenden WordPress-Setup hinzufügen möchten, die potenzielle Angriffsfläche erhöht. Umfangreichere Funktionalität und einfachere Bedienung müssen nicht immer auf Kosten der Sicherheit gehen, aber bei Plugins von Drittanbietern besteht immer die Möglichkeit, dass ein paar Risse vorhanden und sichtbar sind.
