„Warnstufe Rot“ meldet das Bundesamt für Sicherheit in der Informationstechnik dieser Tage. Grund hierfür ist die kritische Schwachstelle Log4Shell in der insbesondere beliebten Protokollierungsbibliothek für Java-Anwendungen, genannt Log4j. Aber was bedeutet das für mich als WordPress Webseiten Betreiber?
Was ist Log4J und welche Sicherheitslücke gibt es?
Log4j ist eine oft eingesetzte Protokollierungsbibliothek für Java-Anwendungen, die einer effizienten Aggregation von Protokolldaten einer Anwendung dient. Entsprechend stark verbreitet ist diese Bibliothek auf Servern, Plattformen und auch Cloud-Anwendungen. Dabei wird eine oder mehrere Schwachstellen für Hacker erfolgreich dafür eingesetzt Anwendungen zu kompromittieren oder gar Systeme vollständig zu übernehmen.
Weitere Informationen erhalten Sie bei der offiziellen Behörde BSI.
Was bedeutet das für meine WordPress Website?
WordPress wurde auf PHP entwickelt. Deshalb ist WordPress – man darf aufatmen – nicht direkt von der Sicherheitslücke in Log4j betroffen. Bitte nicht verwechseln: Zwar nutzt WordPress JavaScript, doch dabei handelt es sich um eine gänzlich andere Programmiersprache. Das bedeutet aber nicht, dass es keine betroffenen WordPress Websites gibt.
Wenn du einen Server wie z.B. einen VPS (Virtual Private Server) betreibst und Apache Log4j verwendest, solltest du sofort Maßnahmen ergreifen, um deine Umgebung zu patchen und sicherzustellen, dass du die gepatchte Version 2.15.0 verwendest. Auch gibt es Berichten zufolge vereinzelt eine kleine Anzahl an Themes, Frameworks und auch WordPress Plugins, die von der Sicherheitslücke betroffen sind.
Diese WordPress Komponenten sind von der Sicherheitslücke betroffen
Dies sind unter Umständen betroffene WordPress Plugins:
- PublishPress Capabilities <= 2.3
- Kiwi Social Plugin <= 2.0.10
- Pinterest Automatic <= 4.14.3
- WordPress Automatic <= 3.53.2
Im Folgenden sind die betroffenen Epsilon Framework-Themenversionen aufgeführt:
- Shapely <=1.2.7
- NewsMag <=2.4.1
- Activello <=1.4.0
- Illdy <=2.1.4
- Allegiant <=1.2.5
- Newspaper X <=1.3.1
- Pixova Lite <=2.0.5
- Brilliance <=1.2.9
- MedZone Lite <=1.2.4
- Regina Lite <=2.0.4
- Transcend <=1.1.8
- Affluent <1.1.0
- Bonkers <=1.0.5
- Antreas <=1.0.4
- NatureMag Lite – Kein Patch bekannt. Deinstallation von der Website empfohlen.
Die oben genannten WordPress Komponenten werden von uns für dich kontinuierlich gemäß unserer Quelle aktualisiert.
Entwarnung für die meisten WordPress Website Betreiber
Die meisten unserer Kunden hosten ihre Websites auf Managed Servers oder auf Shared-Webhosting Paketen. Falls du also Kunde bist bei einschlägigen Webhosting Anbietern wie GoDaddy, Ionos, STRATO oder All-Inkl brauchst du dir momentan keine Sorgen machen. Denn diese stehen aktuell in Alarmbereitschaft und setzen alles technisch notwendige um, um ihre Hard- und Software dagegen abzusichern.
Kurzum bist du dir unsicher, ob deine WordPress Website davon betroffen ist?
Selbstverständlich unterstützen wir dich als WordPress Experten mit über 150 erfolgreichen Projekten gern und stehen dir mit Rat und Tat zur Seite. Kontaktiere uns einfach und wir melden uns schnellstmöglich bei dir zurück. Zwischenzeitlich darfst du dir gern ein Bild von uns und unseren Showcases machen.