Web-Publishing mit WordPress-Blog!

Disqus – Heise warnt vor Sicherheitslücke

Am 13.08 hat heise vor der Verwendung von älternen -Plugins von Disqus gewarnt. Versionen seien bis zum Stand Version 2.75 angreifbar habe der Sicherheitsforscher Nik Cubrilovic gemeldet. Ein Angreifer  könne „die Session des Administrators der -Seite über eine Cross-Site Request Forgery (CSRF) stehlen oder die Einstellungen des Plug-ins löschen“ heißt es bei heise.

Plugin Disqus

Das WordPress-Plugin Disqus erlaubt übergreifende Kommentare für Webseiten. Das Plug-in ist soll eine vielfach heruntergeladene Erweiterungen für WordPress sein.

WordPress Plugin disqus

WordPress Plugin disqus

… und beim Sicherheitsforscher?

Heise hat auf einen Artikel über die Verwundbarkeiten bei Sicherheitsforscher Nik Cubrilovic verlinkt. Als ich heute – Stand 16.08.2014 – diesem Link gefolgt bin, fand ich selbst eine Sicherheitswarnung:

Sicherheitswarnung

Sicherheitswarnung

Meine Sicherheits-Tipps

ist offenbar ein schwieriges Thema. In jedem Fall sollte man die WordPress-Installation aktuell halten, um eine Sicherheitslücke zu vermeiden.

Bei jedem Plugin sollte man aus Gründen der Sicherheit folgende Fragen beachten

  1. Wird das Plugin wirklich gebraucht?
  2. Wie oft wird das Plugin gewöhnlich überarbeitet?
  3. Und regelmäßig: Sind die Plugins aktuell?

: Hinweise zu Updates im Dashboard oder Menü immer beachten; dann ist schon für ziemlich viel Sicherheit gesorgt.

Bei der alltäglichen Arbeit hilft natürlich WordPress zum Thema Sicherheit und Updates selbst fleißig mit. Es wird im Backend immer angezeigt, ob neue Versionen des Blog-Systems oder für die verfügbaren (aktive und inaktive) Plugins vorliegen. Der eines WordPress-Blogs kann also in der Regel recht einfach die Anwendung sicher gestalten. Eine ständige Beobachtung aller Sicherheits-Meldungen kann er also zum Hobby machen – muss es aber nicht.

: Bei Sicherheits-Problemen oder vielleicht falschen Warnungen, ggf. dem Admin einen trackback schicken … Vielleicht folgt dann bald eine Ergänzung im Artikel („update“) und der trackback kann dann freigeschaltet werden.

Schreibe einen Kommentar