Wordpress ist unbestritten das weltweit beliebteste Content Managementsystem für Blogs. Jetzt hat die US-IT-Expertin Yan eine neue Sicherheitslücke in Wordpress entdeckt: Der „wordpress_logged_in“ genannte Cookie wird demnach unverschlüsselt per HTTP zum jeweiligen Endgerät gesendet, von dem aus sich der legitime Anwender einloggt.

Dabei sollte die Eigenschaft “secure flag” bei sicherheitsrelevanten Cookies immer gesetzt sein, so dass sie niemals im Klartext gesendet werden. Die Folge: Erbeutet ein Angreifer den “wordpress_logged_in“-Cookie, kann er sich von beliebigen anderen Rechnern aus ohne weitere Anmeldedaten bei einem Wordpress-Blog einloggen.

Und der Cookie wird auch nicht ungültig, wenn sich der tatsächliche Besitzer ein- oder ausloggt, sondern funktioniert weiter als Zweitschlüssel. Nach eigener Angabe gelang es der Sicherheitsfachfrau nicht, das Original-Passwort zu ändern, da Wordpress offensichtlich ein Sicherheits-Cookie (wordpress_sec) dafür verwendet.

Doch mit dem Zweitschlüssel lassen sich Postings in dem fremden Blog veröffentlichen, neue Seiten anlegen, private Postings lesen, Kommentare in anderen Blogs posten oder Blog-Statistiken aufrufen. „Nicht schlecht für ein einziges Cookie“, schreibt Yan. Auch die Zwei-Faktor-Authentifizierung lässt sich so einschalten - und der rechtmäßige Nutzer aussperren. Ist sie aktiviert, lässt sich diese ebenfalls durch Cookie-Diebstahl umgehen, da auch der für die Zwei-Faktor-Anmeldung verwendete Cookie unverschlüsselt gesendet wird.

Yan rät dazu, keine Wordpress-Seite aufzurufen, während man in seinem WP-Account eingeloggt ist und ein unsicheres lokales Netzwerk benutzt. In einem Update ihres Blogbeitrags gibt sie zu Beginn nun noch weitere Tipps, wie Wordpress-Nutzer ihre Blogs absichern können.

Wordpress erklärte dazu, dass die kommende Version die entdeckten Fehler beheben soll. Dann soll der Authentifizierungs-Cookie nach jeder Session außer Kraft gesetzt sein und die SSL-Verschlüsselung verbessert werden.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.