Alle WordPress-Sicherheitslücken monatlich zusammengefasst:

Sicherheitslücke bei WordPress-Plugin: LiteSpeed Cache

Aktuell wurde eine Sicherheitslücke bei dem WordPress Plugin LiteSpeed Cache entdeckt. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — im Allgemeinen für beliebte Plugins ab 100.000+ aktiven Nutzern.

Das WordPress Plugin: LiteSpeed Cache

LiteSpeed Cache for WordPress (LSCWP) ist ein umfassendes Beschleunigungs-Plugin. Neben diversen Optimierungsfeatures beinhaltet es insbesondere serverseitiges Caching.  LSCWP unterstüzt auch WordPress Multisites und ist mit vielen beliebten Plugins wie WooCommerce, bbPress, and Yoast SEO kompatibel.
Das Plugin zählt laut wordpress.org aktuell über 1.000.000 aktive Installationen.

Bekannt geworden 26.12.2020:

Sicherheitslücke: Authenticated Stored Cross-Site-Scripting

Das Plugin säubert ungültige IPs die in der Toolbox-Seite eingegeben nicht, bevor diese in einer Fehler-Nachricht ausgegeben werden.
(Proof of Concept: Submit a payload such as <img src onerror=alert(/XSS/)> in the Admin IPs section of the Toolbox (/wp-admin/admin.php?page=litespeed-toolbox))
Diese Lücke kann geschlossen werden, indem das Plugin auf die gefixte Version 3.6.1 geupdatet wird.
Quelle: https://wpscan.com/vulnerability/8ef35524-d996-4285-aca2-dc62e02c074d

Falls du unsere WordPress-Wartung SecurePlan gebucht hast, haben wir das notwendige Sicherheitsupdate bereits für dich durchgeführt.

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.