Achtung! Eine neue Sicherheitslücke wurde schon vor kurzem beim beliebtem WooCommerce Plugin für WordPress erkannt. Die Auswirkungen des Sicherheitsproblems können alle auf dem Server gespeicherten Seiten und die Datenbanken betreffen. Schwachstellen in der Software – in Verbindung mit PHP – laden Angreifer dazu ein, beliebige Dateien vom Server herunterzuladen.

WooCommerce für WordPress – beliebter Onlineshop

Das kostenlose Plugin WooCommerce für WordPress wurde von mehr als 5,5 Millionen Usern heruntergeladen und installiert. Durch ausgezeichnete Funktionalität beweist die Software, dass kostenlose Erweiterungen nicht zwingend schlechter sind, als bezahlte Alternativen. Einfache Installation, die Software bettet automatisch seine E-Commerce-Funktionen nahtlos in das WordPress-Framework ein und reibungsloser Betrieb sprechen Shop-Betreiber an. Etwa 12,7 Prozent aller in Verbindung mit WordPress betriebenen Onlineshops basieren auf WooCommerce. (Quelle: Statistiken von BuiltWith).

Von der neu erkannten Sicherheitslücke bedroht sind vor allem Shop-Betreiber, die sich ihrem Kerngeschäft hingeben, aber ihrer Serversoftware wenig Beachtung schenken. Nach dem Motto „Never change a running system“ widmen sie sich ganz der Content-SEO und Artikelpflege im Shop. Eine Sicherheitslücke zu erkennen, dazu fehlen fundierte Fachkenntnisse, die Zeit und leider ebenso das Interesse. In Sicherheitsfragen verlassen sich Semiprofis gern auf Ihren Provider. Für das sichere Gefühl sorgt seine Werbung, die fortlaufende automatische Sicherheitsupdates verspricht.

Alte Sicherheitslücke wird zur neuen Gefahrenquelle

Ohne die Mithilfe seiner Kunden kann leider kein Provider zeitaktuelle Sicherheit garantieren. Das Schließen einer Sicherheitslücke, ohne die Mitwirkung der Kunden, könnte die Funktionalität der Homepage beeinträchtigen. Viele tief greifende Updates setzen voraus, dass die Blog Software WordPress und WooCommerce auf die neue Basissoftware (PHP-Version) vorbereitet sind. Im Interesse ihrer Server-Kunden eröffnet jeder Provider ein langes Zeitfenster, die Homepage vorzubereiten.

Zur Sicherheitslücke bei WooCommerce für WordPress wird eine bereits lange bekannte Schwachstelle von PHP. (CVE-2013 bis 1643) aufgeführt. Läuft auf dem Server noch immer eine alte PHP-Version, erfüllt die Homepage die erste Voraussetzung für einen erfolgreichen Angriff. Es fehlt nur noch, dass bei der Installation WooCommerce der richtige „Schalter“ umgelegt wurde. Im Risiko stehen Shop-Betreiber, die Ihren Kunden einfache Zahlungsmöglichkeiten einräumen. PayPal ist bei Kunden für den einfachen sicheren Online-Einkauf bekannt. Um das Zahlungsverfahren in WooCommerce für WordPress einzubinden muss die Option „PayPal Identität Token“ aktiv sein.

Das Problem ist nur, bei aktivierter Option und veralteter PHP-Version steht das System für einen Angriff durch „Objekt Injection“ offen. Angreifer „injizieren“ durch die Sicherheitslücke zunächst eine Schadsoftware. Anschließend erhält der Hacker beliebigen Zugriff auf alle gespeicherten Daten, bis hin zur wp-config.php. Hackern wird es möglich, die Datenbanken zu kopieren, auszulesen und auf Wunsch sogar die vollständige Admin – Kontrolle zu übernehmen.

Einfaches Sicherheitskonzept – große Wirkung

WooCommerce und WordPress zusammen mit PayPal, bieten gemeinsam die bewährte Lösung für professionelles Contentmanagement, E-Commerce und einfacher Zahlung. Die Gefahr einer potenziellen Sicherheitslücke besteht trotzdem immer. Den einfachsten Weg, ohne eigene Spezialkenntnisse lauernde Gefahren abzuwehren, sichert das Update auf die jeweils aktuelle Softwareversion. Ein Mausklick vom Admin-User reicht, damit sich ein veraltetes WooCommerce für WordPress zur aktuellen Version mausert.

Ein gelegentlicher Besuch auf der Accountseite des Providers gewährleistet, jede für PHP bekannte Sicherheitslücke durch ein zeitnahes PHP-Update zu schließen.