#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

WORDPRESS-FALLE! Das neue Notizen-Feature lässt JETZT fremde Hände an deine Beiträge — Update auf 6.9.2 SOFORT

WORDPRESS-FALLE! Das neue Notizen-Feature lässt JETZT fremde Hände an deine Beiträge — Update auf 6.9.2 SOFORT

Diesmal steckt die Lücke nicht in einem Plugin, sondern im WordPress-Kern selbst. Das mit Version 6.9 eingeführte Notizen-Feature hat einen Rechte-Fehler — und der lässt einfache Nutzer an Beiträge, die sie nichts angehen. Das Gegenmittel heißt 6.9.2.

Was schiefläuft

Das neue Notizen-Feature nutzt im Hintergrund den REST-API-Comments-Controller. Bei der Rechteprüfung schlich sich ein Fehler ein: Die Methode prüfte nicht, ob der Nutzer überhaupt die Berechtigung edit_post für den Ziel-Beitrag hat. Folge: Ein angemeldeter Nutzer mit niedriger Rolle (etwa Abonnent) kann Notizen an beliebigen Beiträgen anlegen — auch an fremden.

WIE schlimm ist das?

Entwarnung vorweg: Das ist keine vollständige Seitenübernahme. Aber es ist eine Rechteüberschreitung, die nicht sein darf — besonders auf Seiten, auf denen sich fremde Nutzer registrieren können (Communities, Shops, Mitgliederbereiche). Dort hat plötzlich jeder Abonnent mehr Möglichkeiten als vorgesehen. WordPress hat die Schwachstelle zusammen mit weiteren Fixes in 6.9.2 behoben.

Das größere Bild: REST-API als Dauerbaustelle

Auffällig ist, wo der Fehler steckte: in der REST-API. Diese Schnittstelle ist das Rückgrat des modernen WordPress — der Block-Editor, Apps und viele Plugins reden darüber mit deiner Seite. Immer wieder tauchen hier Rechte-Lücken auf, weil eine einzige vergessene Berechtigungsprüfung reicht, um Türen zu öffnen, die zu bleiben hätten. Für dich heißt das: Kern-Updates ernst nehmen, und bei Plugins darauf achten, dass sie ihre eigenen REST-Endpunkte sauber absichern. Wer viele fremde Nutzerkonten auf der Seite hat, fährt mit einem zusätzlichen Sicherheits-Plugin und regelmäßigen Updates am ruhigsten.

So machst du dicht

  • Aktualisiere auf 6.9.2 (oder neuer). Wer Auto-Updates für Minor-Versionen aktiviert hat, ist meist schon versorgt.
  • Prüfe unter Dashboard → Aktualisierungen, ob die Version sauber durchlief.
  • Registrierung im Blick: Auf Seiten ohne offene Anmeldung ist das Risiko geringer — trotzdem updaten.

EXTRA-TIPP: Lass die automatischen Hintergrund-Updates für kleine WordPress-Versionen aktiviert. Genau solche Kern-Fixes landen dann ohne dein Zutun auf der Seite.

FAZIT: Kein Super-GAU, aber ein klarer Pflicht-Patch. Ein kurzer Klick auf „Aktualisieren“ und das Notizen-Schlupfloch ist zu.

Häufige Fragen

Ist meine Seite gefährdet, wenn niemand sich registrieren kann?
Das Risiko ist dann deutlich kleiner, weil ein Angreifer ein angemeldetes Konto braucht. Trotzdem solltest du updaten: Schon ein kompromittiertes Abonnenten-Konto würde reichen, und Sicherheitsupdates für den Kern sollte man grundsätzlich nicht liegen lassen.
Wie aktualisiere ich WordPress sicher?
Idealerweise mit einem kurzen Backup vorab. Dann im Dashboard unter „Aktualisierungen“ die neue Version einspielen oder die automatischen Minor-Updates wirken lassen. Bei vielen Plugins lohnt ein Blick danach, ob alles normal funktioniert.
Was ist das Notizen-Feature überhaupt?
Es ist eine mit WordPress 6.9 eingeführte Funktion, mit der sich Notizen zu Beiträgen anlegen lassen. Technisch läuft das über die REST-API. Genau in dieser Schnittstelle steckte die fehlende Rechteprüfung, die mit 6.9.2 korrigiert wurde.

Quellen:

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert