+49 (0)32 221 096 223

W3TotalCache jetzt unsicher

W3 Total Cache einstellungen

Millionen von Webseiten (worunter auch Seiten von unseren Kunden) nutzen das Caching Plugin W3TotalCache, oft abgekürzt als W3TC. Nun ist schon länger bekannt, dass das Plugin nicht mehr aktiv aktualisiert wird, obwohl der Hersteller das noch nie explizit angegeben hat. So fehlt z.B. Unterstützung für PHP 7, obwohl das einfach machbar ist. Das ist alles schon nicht okay, aber jetzt ist eine XSS Sicherheitslücke in das Plugin entdeckt worden, wodurch W3TotalCache nicht mehr sicher ist.

Diese XSS Sicherheitslücke ermöglicht es, um die Inhalte und das Design einer Seite an zu passen über einen Auftrag in einem Eingabefeld vom Supportformular des Plugins. Glücklicherweise funktioniert dieser Exploit nur, wenn das durch einen Nutzer mit Administratorrechten gemacht wird.

Es werden öfter XSS Sicherheitslücken in Plugins entdeckt, aber normalerweise werden diese zeitlich gepatched durch die Hersteller, bevor von diesen Lücken missbraucht werden können. Das ist auch der Grund, wieso wir nicht für jede neu entdeckte Lücke einen Blogpost schreiben. In diesem Fall ist es jedoch anders, sicher weil dieses Plugin einen der welweit beliebtesten ist. Wir hoffen das die Hersteller es schnell reparieren, aber das ist auf Basis der Geschichte nicht zu erwarten.

Zufällig haben wir W3TC letztens mit einige Alternativen getestet. Sollten Sie noch ein Caching Plugin nutzen wollen, dann gibt es 3 überlegenswerte Optionen:

1. WP Rocket
Für Kunden von Savvii mit Rabatt zu erhalten via Savvii Deals. Auch haben wir guten Kontakt zu den Herstellern.

2. WP Super Cache
Dieses Plugin wird betreut von Automattic, das Unternehmen hinter WordPress.

Auch können Sie natürlich nur unser serverseitiges Varnish Caching nutzen (wichtig: keine Sessions aktivieren).

Wir sagen immer, dass regelmäßig aktualisieren von Plugins eine der wichtigsten Sicherheitsmaßnahmen ist, aber das ist jetzt keine Option. Machen Sie es wohl für den WordPress Core und andere Plugins!

Update – 26. September 2016:

W3TC hat Version 0.9.5 veröffentlicht. Diese Version löst die XSS Sicherheitslücke. Außerdem sagt W3TC jetzt, dass die Kompabilität mit PHP 7 ‚verbessert‘ ist. Wir hatten bisher noch keine Zeit, das zu testen, aber werden Sie hierüber informieren. Bitte aktualisieren Sie W3TC zur neusten Version, oder entfernen Sie es von Ihren Seiten.

Update 2 – 26. September 2016:

Das Update enthält viele Änderungen an das W3TC Plugin. Bei einer Aktualisierung führt das in vielen Fällen zu Problemen. Wir empfehlen Ihnen ein Update erst lokal oder auf einer Testumgebung durch zu führen, bevor Sie es auf Ihrer live-Seite tun. Selbstverständlich das Wechseln zu ein anderes Caching Plugin eine gute Option.

Kommentar

(nicht dargestellt)
(nicht dargestellt)
* Erforderliche Felder

Zurück zur Übersicht

Wir arbeiten mit:

  • rackspace_savvii
  • New Relic
  • nginx_savvii
  • Varnish
  • Mandrill
  • Freshdesk