Sicherheitslücke bei WordPress-Plugin: Loginizer

Sicherheitslücke bei WordPress Plugin Loginizer

Aktuell wurde eine Sicherheitslücke bei dem beliebten WordPress Plugin Loginizer entdeckt. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins und relevante Sicherheitslücken.

Das WordPress Plugin: Loginizer

Loginizer ist ein Sicherheitsplugin für WordPress, das dabei hilft, Bruteforce-Angriffe abzuwehren, indem es die entsprechenden IP-Adressen sperrt. Wie viele fehlgeschlagene Loginversuche erlaubt sind, bevor es zur Sperrung kommt, kannst du selbst festlegen. IPs können im Plugin auch auf eine Blacklist oder Whitelist gesetzt werden. Das bedeutet, dass diese IPs entweder niemals Zugriff auf deine Seite erhalten, oder im Falle der Whitelists, dass sie gar nicht erst gesperrt werden können. Außerdem stehen auch weitere Features wie Zwei-Faktor-Authentifizierung, reCAPTCHA oder PasswordLess Login zur Verfügung, um die Sicherheit deiner Seite zu erhöhen.
Das Plugin zählt laut wordpress.org aktuell über 1.000.000 Nutzer.

 


Bekannt geworden 21.10.2020:

Sicherheitslücke: Unauthenticated SQL Injection

Im Loginizer Sicherheitsplugin wurde aktuell eine Unauthenticated SQL-Injection Sicherheitslücke entdeckt. Unauthenticated heißt in diesem Kontext immer, dass ein Angreifer keinerlei Zugang zu deinem WordPress braucht, um eine Attacke auszuführen. Die Schwäche bestand innerhalb des Bruteforce-Schutzes, welcher bei der Installation standardmäßig aktiviert ist. Wenn sich ein Nutzer mit einem unbekannten Nutzernamen einloggen wollte, wurde dieser Versuch in der Backend-Datenbank gespeichert. Dabei wurden aber der Nutzername und weitere Parameter vor Einbringung in eben diesen SQL-Query nicht angemessen überprüft.  
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (1.6.4) aktualisiert wird. 

Quelle: wpvulndb.com/vulnerabilities/10441
Mehr Details zur Sicherheitslücke (Englisch): wpdeeply.com/loginizer-before-1-6-4-sqli-injection/

 

Falls du unsere WordPress-Wartung SecurePlan gebucht hast, haben wir das notwendige Sicherheitsupdate bereits für dich durchgeführt.

 


Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.


 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt, solche Sicherheitslücken aufzudecken, damit diese behoben werden können.