Das Anti-Botnet-Beratungszentrum des BSI meldete vor einigen Tagen, dass WordPress-Seiten für DDoS-Angriffe missbraucht werden. Ein Angriff kann mit Hilfe von Logfiles belegt werden. Bereits seit April wurden immer wieder sog. "Brute-Force-Angriffe" gegen den Administrationsbereich von WordPress-Seiten durchgeführt. Ziel ist es, ausreichend Hosting-Server unter Kontrolle zu bringen, die für DDoS-Angriffe missbraucht werden können.
Rund 570 WordPress-Seiten sollen am 23. September für eine Attacke eingesetzt worden sein. Auch Webseiten der Pennsylvania State University sowie Seiten des Stevens Institute of Technology wurden für die Attacke genutzt.
Ausschließlich die neueste Version (3.6.1) von Wordpress hat bisher keine bekannten Sicherheitsprobleme. Wir helfen Ihnen gerne beim Update Ihrer Installation.
Laut dem Anti-Botnetz-Beratungszentrum, werden momentan nur bei ca. 18 Prozent der Top 1 Million WordPress-Seiten die aktuelle Version genutzt. Laut einer Statistik der amerikanischen Sicherheitsfirma WP White Security sind 70 % der populärsten Wordpress-Seiten durch veraltete Installationen angreifbar.
Das BSI stellte im Juni fest, dass die größte Gefahr für WordPress-Installationen von Add-Ons ausgeht. 20 Prozent der Sicherheitslücken fallen auf das CMS, 80 Prozent auf die Add-Ons zurück. Wir berichteten im Juni darüber.
Von WordPress gibt es bisher keine Stellungsnahme zu den aktuellen Vorkommnissen.