Alle WordPress-Sicherheitslücken monatlich zusammengefasst:
Sicherheitslücke bei WordPress Plugin – All in One SEO Pack
Aktuell wurde eine Sicherheitslücke bei dem WordPress Plug-In „All in One SEO Pack“ by All in One SEO Team gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.
Das WordPress-Plugin: All in One SEO Pack
Das Plugin „All in One SEO Pack“ ist besonders gut für SEO-Einsteiger geeignet. Es bietet einen überschaubaren Umfang an Funktionen, der eine schnelle und einfache Bedienung schon nach kürzester Einarbeitungszeit ermöglicht. Ein großer Vorteil des All in One SEO Packs ist, dass es viele Onpage Faktoren automatisch generiert. Beispielsweise wird der Title automatisch erzeugt. Eine weitere nützliche Funktion, die man in vielen Tools vergeblich sucht, ist die automatische Überprüfung auf Duplicate Content. Natürlich können manuelle Änderungen jederzeit auch vom User durchgeführt werden. Das All-In-One SEO-Plugin eignet sich sowohl für SEO-Laien als auch für fortgeschrittene User. Laien müssen das Plugin nur installieren, die wichtigsten Einstellungen nimmt das Plugin von selber vor. Fortgeschrittene User können für weitere Einstellungen zusätzliche Feinabstimmungen vornehmen.
Das Plugin zählt laut WordPress.org aktuell über 2.000.000 aktive Nutzer.
Veröffentlicht am 09.05.2021:
Sicherheitslücke: Admin RCE via unserialize
Authentifizierte Admins des WordPress oder User mit dem Privileg „aioseo_tools_settings“ können beliebigen Code auf dem zugrundeliegenden Hostsystem ausführen. Nutzer können die Plugin-Konfiguration durch den Upload einer .ini-Datei zurücksetzen.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (4.1.0.2) aktualisiert wird.
Quellen: https://wpscan.com/vulnerability/ab2c94d2-f6c4-418b-bd14-711ed164bcf1
Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.
Veröffentlicht am 17.07.2020:
Sicherheitslücke: Authenticated Stored Cross-Site Scripting
Durch Ausnutzen diese Lücke kann bspw. ein authentifizierter Nutzer (=ein Nutzer, der einen eigenen Login / Zugangsdaten für das betreffende WordPress besitzt) –mit einem Status von „Mitwirkende“ oder höher– schadhaftes Java-Skript über einen Beitragstitel im Browser des Besuchers ausführen lassen.
Wie immer empfehlen wir euch, diese Lücke möglichst bald zu schließen.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (3.6.2) aktualisiert wird.
Quellen: wpvulndb.com/vulnerabilities/10320
Mehr dazu (Englisch): https://www.wordfence.com/blog/2020/07/2-million-users-affected-by-vulnerability-in-all-in-one-seo-pack/
Veröffentlicht am 06.12.2018:
Sicherheitslücke: Authenticated Stored Cross-Site Scripting (XSS)
Cross-Site-Scripting ist eine Art der HTML Injektion. Cross-Site-Scripting tritt dann auf, wenn eine Webanwendung Daten annimmt, die von einem Nutzer stammen, und diese Daten dann an einen Browser weitersendet, ohne den Inhalt zu überprüfen. Damit ist es einem Angreifer möglich, auch Skripte indirekt an den Browser des Opfers zu senden und damit Schadcode auf der Seite des Clients auszuführen.
Aktualisiere das Plugin auf die neueste Version, um die Sicherheitslücke zu schließen.
Quelle: https://wpvulndb.com/vulnerabilities/9159
Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– fast 10.000 frei verfügbare Themes und über 55.000 verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.
Mehr aktuelle Beiträge rund um WordPress & Co.:
