WordPress 4.0.1 Security Release

Heute wurde ein WordPress 4.0.1 Security Release zunächst in der englischen Version ausgerollt. Dies ist ein kritische Sicherheitsupdates, das 23 Fehler behebt, für alle früheren Versionen. Die WordPress- Macher empfehlen dringend, das Blog sofort zu aktualisieren.

Seiten, die eine automatische Hintergrund-Updates unterstützen, werden innerhalb der nächsten Stunden automatisch aktualisiert. Besonders Benutzern von älteren Versionen wie zum Beispiel 3.9.2 und früher wird dringend zu einem Update geraten. WordPress-Versionen 3.9.2 und frühere Versionen werden durch eine kritische Cross-Site-Scripting-Schwachstelle, die es anonymen Benutzer ermöglichen könnte, die Website zu gefährden.

Laut Jouko Pynnonen konnte in den WordPress Versionen vor 4.0 Code über die Kommentarfelder eingeschleust werden. Wurde der Kommentar freigeschaltet , wurde der Code ausführt. WordPress 4.0 ist von der XSS-Lücke, die als äusserst kritisch eingestuft wird, nicht betroffen, aber es wird trotzdem zu einem Update geraten, weil 4.0.1 einige weitere Sicherheitslücken schließt, durch die Angreifer einer WordPress-Seite schaden zufügen könnten. Es handelt sich unter anderem um weitere XSS-Lücken, unter anderem mit der Möglichkeit, dass eine Seite nicht mehr verfügbar (Denial of Service – DoS) wird, weil man versucht das Passwort zu ändern.

Der Download der aktuellen Versionen ist wie immer über das WordPress-Backend oder über den direkten Link https://wordpress.org/download/ oder http://wpde.org/download/ möglich.