0800-0010313
E-Mail
Eine schwere Sicherheitslücke
haben Experten ausgerechnet in dem WordPress-Plugin nachgewiesen, welches die Konformität der neuen DSGVO unterstützen soll. Das unerlaubte Erstellen von Admin-Konten wird dadurch beispielsweise ermöglicht. Genau dieses Problem haben unlängst zahlreiche WordPress-Nutzer gemeldet.
Das Plugin trägt den Namen WP DSGVO Compliance und soll bei der Einhaltung der neuen EU-DSGVO unterstützen. Über 100.000-mal wurde es zu diesem Zweck bereits installiert. Anfang November mehrten sich in den entsprechenden Blogs die Meldungen über merkwürdige Vorgänge im Zusammenhang mit dem WordPress-Plugin.
Plugin wurde mehrfach installiert und aktiviert
Eine häufige Beobachtung von Betroffenen war vor allem die mehrfache, ohne Zutun des Seiten-Betreibers erfolgte Installation und Aktivierung von WP DSGVO Compliance. Ein solcher Prozess lässt sofort auf einen unautorisierten Zugriff eines externen Nutzers schließen, weswegen die User alarmiert waren und den Vorfall vielfach meldeten.
Plugin-Team reagierte schnell
Nur einen Tag später veröffentlichte das Plugin-Review-Team die Version 1.4.3. Es gilt die dringende Empfehlung: Führen Sie unbedingt ein Update auf Version 1.4.3 durch, wenn Sie das WordPress-Plugin nutzen möchten. Überdies gilt es unbedingt zu kontrollieren, ob nicht bereits ein neues Benutzerkonto angelegt wurde oder anders ausgedrückt, ob die Lücke nicht bereits ausgenutzt wurde.
Nutzer identifizierte Ursache
Es war ein Benutzer, der durch einen Test das DSGVO-Plugin von WordPress als Ursache der ungewöhnlichen Probleme identifiziert hat. Am 06.11.2018 haben die Administratoren reagiert und das Plugin aus dem Verzeichnis des Content-Management-Systems entfernt. Die User wurden über diesen Schritt in einem Support-Thread informiert.
Erzwungenes Update wird geprüft
Eine garantierte Sicherheit wäre für alle User nur dann gewährleistet, wenn für die künftige Verwendung des DSGVO-Plugins ein erzwungenes Update für den Weiterbetrieb notwendig wäre. Hierzu gibt es laut Angaben des Support-Threads bereits einen Austausch zwischen dem Plugin-Verzeichnis-Team und den Plugin-Autoren. Gemeinsam wird geprüft, ob sich ein erzwungenes Update in diesem Zusammenhang realisieren lässt. Mehr Infos gibt es auf dem Blog der Plugin-Website.
