Sie sind hier: Startseite » Wordpress

Kategorie: Wordpress

Meldung: „Verbindung ist nicht sicher“ im Firefox und anderen Browsern

Seit dem neuesten Update des Firefox Browsers bekommen Nutzer bei der Anmeldung in WordPress und auch anderen Seiten, bei denen Passwörter oder Logins übermittelt werden unter Umständen einen Hinweis, dass die Seite nicht sicher sei. Das Neue daran ist, dass diese Meldung eingeblendet wird, wenn man keine Verschlüsselung wie „https“ nutzt sondern die Daten nur per „normalem“ http übermittelt werden. Nachzulesen in den aktuellen Release-Notes:

Added user warnings for non-secure HTTP pages with logins. Firefox now displays a “This connection is not secure” message when users click into the username and password fields on pages that don’t use HTTPS.

Der Wortlaut der Meldung ist in der deutschen Übersetzung etwas irreführend, da die Meldung suggeriert, dass auf der Website die Daten nicht sicher wären. Kunden fragten schon nach, ob denn ihre Website gehackt wurde.

firefox-login

Fakt ist natürlich, dass die Login-Daten während der Übermittlung ohne https an die Website von dritten mitgelesen werden können.

Wir finden den Hinweis generell gut, da wir unseren Kunden sowieso immer empfehlen ein SSL-Zertifikat zu erwerben und auf Sicherheit zu achten. Hinzu kommt, dass auch immer mehr die Meinung vertreten wird, dass Kontaktformulare über https abgesichert werden müssen, um keine Abmahnung zu riskieren.

WordPress 4.7.3 – Update zur Sicherheit und Wartung veröffentlicht

WordPress 4.7.3 ist ab sofort verfügbar. Dies ist ein Sicherheits-Update für alle früheren Versionen. WordPress empfiehlt dringend, alle WordPress-Seiten sofort zu aktualisieren.

Was gibt es Neues?

Die WordPress Version 4.7.2 und alle früheren Versionen sind von diesen sechs Sicherheitsproblemen betroffen:

  1. Cross-Site-Scripting (XSS) über Mediendatei-Metadaten.
  2. Steuerungszeichen können eine falsche Umleitung bei der URL-Validierung auslösen.
  3. Unbeabsichtigte Dateien können von Administratoren mit der Plugin-Löschfunktion gelöscht werden.
  4. Cross-Site-Scripting (XSS) über Video-URL in YouTube-Einbettungen.
  5. Cross-Site-Scripting (XSS) über Taxonomie-Term-Namen.
  6. Cross-site request forgery (CSRF) über das „Press This“ Bookmarklet. Dies kann zu übermäßigem Einsatz von Server-Ressourcen führen.

Zusätzlich zu den oben genannten Sicherheitsproblemen enthält WordPress 4.7.3 weitere 39 Wartungsfixes für die 4.7 Serie. Weitere Informationen gibt es auf: wordpress.org

Alle Kunden, die einen Wartungsvertrag mit uns über ihre Website abgeschlossen haben, müssen sich nicht selbst um die WordPress-Updates kümmern. Das übernehmen wir.

Immer dran denken: Fehlende Sicherheitsupdates sind wie eine offene Tür für jeden, der in die Seite rein möchte.