Sicherheitslücke bei WordPress Plugin – All in One SEO Pack

 

all in one SEO pack - sicherheitslücke - xss

Aktuell wurde eine Sicherheitslücke bei dem WordPress Plug-In „All in One SEO Pack“ by  All in One SEO Team gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

Das WordPress-Plugin: All in One SEO Pack

Das Plugin „All in One SEO Pack“ ist besonders gut für SEO-Einsteiger geeignet. Es bietet einen überschaubaren Umfang an Funktionen, der eine schnelle und einfache Bedienung schon nach kürzester Einarbeitungszeit ermöglicht. Ein großer Vorteil des All in One SEO Packs ist, dass es viele Onpage Faktoren automatisch generiert. Beispielsweise wird der Title automatisch erzeugt. Eine weitere nützliche Funktion, die man in vielen Tools vergeblich sucht, ist die automatische Überprüfung auf Duplicate Content. Natürlich können manuelle Änderungen jederzeit auch vom User durchgeführt werden. Das All-In-One SEO-Plugin eignet sich sowohl für SEO Laien als auch für fortgeschrittene User. Laien müssen das Plugin nur installieren, die wichtigsten Einstellungen nimmt das Plugin von selber vor. Fortgeschrittene User können jedoch für alle Einstellungen noch Feinabstimmungen vornehmen.
Das Plugin zählt laut WordPress.org aktuell über 2.000.000 aktive Nutzer.

 


Veröffentlicht am 17.07.2020:

Sicherheitslücke: Authenticated Stored Cross-Site Scripting

Durch Ausnutzen diese Lücke kann bspw. ein authentifizierter Nutzer (=ein Nutzer, der einen eigenen Login / Zugangsdaten für das betreffende WordPress besitzt) –mit einem Status von „Mitwirkende“ oder höher– schadhaftes Java-Skript über einen Beitragstitel im Browser des Besuchers ausführen lassen.  

Wie immer empfehlen wir euch, diese Lücke möglichst bald zu schließen. 

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (3.6.2) aktualisiert wird.
Quellen: wpvulndb.com/vulnerabilities/10320
Mehr dazu (Englisch): https://www.wordfence.com/blog/2020/07/2-million-users-affected-by-vulnerability-in-all-in-one-seo-pack/

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 

 


 

 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

 

 


Veröffentlicht am 06.12.2018:

Sicherheitslücke:  Authenticated Stored Cross-Site Scripting (XSS)

Cross-Site-Scripting ist eine Art der HTML Injektion. Cross-Site-Scripting tritt dann auf, wenn eine Webanwendung Daten annimmt, die von einem Nutzer stammen, und diese Daten dann an einen Browser weitersendet, ohne den Inhalt zu überprüfen. Damit ist es einem Angreifer möglich, auch Skripte indirekt an den Browser des Opfers zu senden und damit Schadcode auf der Seite des Clients auszuführen.

Aktualisiere das Plugin auf die neueste Version, um die Sicherheitslücke zu schließen.
Quelle: https://wpvulndb.com/vulnerabilities/9159

 

Falls du über den HostPress SecurePlan verfügst, erhältst du Sicherheitsupdates dieser Art unmittelbar nach Bekanntgabe der Sicherheitslücke.


 

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– fast 10.000 frei verfügbare Themes und über 55.000 verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.