Für viele WordPress-Seitenbetreiber ist das Advanced Custom Fields (ACF) Plugin unverzichtbar. Mit dem Plugin lassen sich ganz einfach Custom Post Types und Custom Fields erstellen. Doch wenn du ACF in der Version 6.3.7 nutzt, solltest du jetzt besonders aufmerksam sein! Eine Sicherheitslücke in dieser Version ermöglicht potenziell böswilligen Angreifern, beliebigen Code auszuführen. Und das Schlimmste daran: Das notwendige Sicherheitsupdate wird nicht automatisch in deinem WordPress-Dashboard angezeigt! In diesem Beitrag erfährst du, warum das so ist und wie du deine Seite schnell und sicher aktualisierst.
Was ist das Problem?
Das ACF Plugin hat über 2 Millionen aktive Installationen und ist ein beliebtes Tool zur Verwaltung von benutzerdefinierten Feldern in WordPress. Allerdings wurde in der Version 6.3.7 eine Sicherheitslücke entdeckt, die es einem Angreifer ermöglicht, beliebigen Code auszuführen. Das bedeutet, dass jemand mit Zugriff auf deine Seite diesen Exploit nutzen könnte, um die Seite zu manipulieren oder sogar vollständige Kontrolle zu erlangen.
Warum wird das Update nicht automatisch im Dashboard angezeigt?
Normalerweise bekommst du Sicherheitsupdates automatisch im WordPress-Dashboard angezeigt. Diesmal ist das jedoch anders. Ein Rechtsstreit zwischen WP Engine, dem Eigentümer von ACF, und Automattic, der Firma hinter WordPress.org, hat dazu geführt, dass WP Engine von der Plugin-Repository ausgeschlossen wurde. Das heißt, dass Updates für das ACF Plugin nicht mehr über WordPress.org bereitgestellt werden.
Hintergrund: WP Engine und ACF
WP Engine hat ACF im Jahr 2022 durch den Kauf von Delicious Brains übernommen, dem ursprünglichen Entwickler des Plugins. Seitdem hat WP Engine die Verantwortung für Updates und die Weiterentwicklung von ACF. Die aktuelle Situation zwischen WP Engine und WordPress.org hat jedoch dazu geführt, dass Benutzer der kostenlosen Version keine automatischen Updates mehr erhalten.
Die aktuelle Sicherheitslücke: Was du wissen musst
Die Sicherheitslücke in Version 6.3.7 ermöglicht eine Arbitrary Code Execution (beliebige Codeausführung). Angreifer könnten diese Schwachstelle nutzen, um sich erweiterte Administratorrechte zu verschaffen, insbesondere in Multisite-Installationen. Dabei könnte ein Administrator versuchen, die Rechte eines anderen Administrators zu manipulieren und so schädlichen Code auf der Seite auszuführen.
Mehr Details zur Sicherheitslücke kannsts du hier nachlesen.
Welche Schritte solltest du unternehmen?
- Überprüfe deine ACF-Version
Navigiere in deinem WordPress-Dashboard zu Plugins und überprüfe, ob du die Version 6.3.7 verwendest. Wenn ja, ist es wichtig, sofort zu handeln. - Manuelles Update installieren
Da automatische Updates aktuell nicht über WordPress.org verfügbar sind, musst du das Update manuell durchführen:
- Lade die neueste Version von ACF (Version 6.3.8) direkt von der offiziellen ACF-Seite herunter.
- Gehe in dein WordPress-Dashboard zu Plugins > Installieren und lade das ZIP-Archiv hoch.
- Bestätige, dass du das bestehende Plugin ersetzen möchtest.
- Nach diesem Update wirst du zukünftige Updates wieder wie gewohnt im Dashboard sehen.
- ACF Pro-Benutzer
Wenn du die Pro-Version von ACF nutzt, brauchst du dir keine Sorgen zu machen. Pro-Benutzer erhalten weiterhin automatische Updates direkt über die ACF-Website. - Nutze den WP Engine Secure Updater für andere WP Engine Plugins
Falls du weitere Plugins von WP Engine verwendest, kann es hilfreich sein, den WP Engine Secure Updater zu installieren, um zukünftige Updates einfacher zu verwalten.
Fazit
Die Sicherheitslücke in ACF Version 6.3.7 ist zwar nicht extrem kritisch, aber sie stellt ein potenzielles Risiko dar, besonders für Seiten mit mehreren Administratoren oder in Multisite-Umgebungen. Um sicherzustellen, dass deine Seite weiterhin geschützt ist, solltest du das Plugin sofort auf Version 6.3.8 aktualisieren. Da automatische Updates aktuell nicht über WordPress.org verfügbar sind, ist ein manuelles Update notwendig. Mach es so bald wie möglich, um deine Website sicher zu halten!