WordPress 5.2 ist erhältlich und bringt eine Reihe von funktionalen Verbesserungen, aber die große Neuigkeit für diejenigen, die sich um die Sicherheit ihrer Installation sorgen, ist die Implementierung der digitalen Signatur von Update-Paketen.
Über ein drittel der Webseiten laufen auf Basis des beliebten CMS Systems WordPress. Alle diese Webseiten hätten von Angreifern auf einen Schlag infiziert werden können. Diese Gefahr ist nun gebannt.
Die Updates für das beliebteste CMS Systems WordPress werden seit der Version 3.7 (2013) vollautomatisch eingespielt. Der größte Teil der Nutzer verwendet diese Funktion die standardmäßig aktiviert ist.
Generell werden die automatischen Updates von WordPress von den Sicherheitsexperten als äußerst positiv bewertet, da sie wenigstens das Grundgerüst der Software auf dem aktuellen Stand der Sicherheit hält, ohne dass sich die Anwender aktiv darum kümmern müssen.
Allerdings bringt diese Funktion auch einige Gefahren mit sich. Würde es einem Angreifer gelingen die Kontrolle über den zuständigen Update Server zu erlangen, könnte er auf einen Schlag Millionen von Webseiten mit Schadcode infizieren. Mit dem neuesten Update von WordPress 5.2 wollen die Entwickler diesem Horrorszenario entgegenwirken.
„Ab der Version 5.2. gibt es „digitale offline Signaturen“ um die automatischen Updates von WordPress auf zu verifizieren. Jede WordPress Installation bekommt nun einen öffentlichen Schlüssel, mit dem die digital signierten WordPress-Update Daten überprüft werden. Ab Version 5.2.X werden nur noch Updates mit gültigen Signaturen eingespielt.“
Angriffsszenarien wie diese sind nicht weit hergeholt, wie man vielleicht vermuten würde. 2017 hatten Angreifer auf ähnliche Weise einen riesigen Schaden für die europäische Wirtschaft verursacht, indem sie den NotPetya-Trojaner über die Update-Server einer ukrainischen Steuersoftware verbreiteten. Bereits 2016 hatte das Sicherheitsunternehmen Wordfence eine Schwachstelle im Update-Mechanismus des CMS aufgedeckt und an das WordPress-Team gemeldet, die genau so einen Angriff auf WordPress möglich gemacht hätte.
In einem Bug-Report der Firma Bug-Tracker aus dem Jahre 2017 heißt es „Aktuell kann ein Angreifer der api.wordpress.org ein gefälschtes WordPress-Update herausgeben und Zugang zu allen WordPress-Installationen im Internet erhalten, die automatische Updates aktiviert haben Es ist jetzt kurz vor 12!“ Zwei Jahre später wurde die Sicherheitslücke von den WordPress-Entwicklern geschlossen. Seit dem Update auf WordPress 5.2 werden die WordPress-Updates kryprographisch abgesichert.