Über 20% der zehn Millionen größten Webseiten setzen auf WordPress. Somit ist das Blog-System das beliebteste CMS im Web.
Der finnische Sicherheitsexperte Jouko Pynnonen hat nun eine schwerwiegende Sicherheitheitslücke entdeckt, die alle WordPress Versionen von 3.0 bis 3.9.2 betreffen.
Über die Kommentarfelder kann schädlicher Javascript-Code eingefügt werden. Beim administrieren des Kommentares (z.B. Freigabe durch den Administrator) kann dieser Code schließlich mit Administratorrechten ausgeführt werden und so unbemerkt einen neuen Account anlegen oder das Passwort des bestehenden Admins ändern.
Eine weitere kritische Sicherheitslücke wurde in dem Statistik-Plugin „WP-Statistics“ entdeckt. Version 8.3 oder niedriger sind hier mit ähnlichen Auswirkungen betroffen.
Sowohl das WordPress CMS als auch das genannte Plugin sollten dringendst auf die aktuelle Version aktualisiert werden.