Sicherheitslücke bei WordPress-Plugin: Coming Soon

26. Juni 2020
|In Allgemein
|Von Johannes

WordPress Sicherheitslücke coming soon page seedprod

Aktuell wurde eine Sicherheitslücke bei dem beliebten WordPress-Plugin Coming Soon von SeedProd gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Das WordPress-Plugin: Coming Soon von SeedProd

Das beliebte Plugin Coming Soon ermöglicht es WordPress-Admins, eine Wartungsseite an Besucher auszugeben, falls die eigentliche Seite durch Aktualisierungen im Hintergrund vorrübergehend nicht erreichbar ist. Dies ist bei korrekter Verwendung einer Staginglösung jedoch nicht unbedingt erforderlich. Hier kann man Änderungen zunächst auf Darstellung und Funktionalität prüfen, um sie dann direkt zu synchronisieren. Sehr sinnvoll ist das Plugin aber für Projekte im Aufbau. So kann eine Seite auch vor Veröffentlichung schon von Suchmaschinen gecrawlt und indexiert werden und zudem können auch schon Email-Adressen von Interessenten gesammelt werden – bspw. über MailChimp, ActiveCampaign oder einfach in die WordPress-Datenbank.
Das Plugin zählt laut WordPress.org aktuell über 1.000.000 aktive Nutzer.

 

 

Bekannt geworden am 25.06.2020:

Sicherheitslücke: Authenticated Stored Cross Site Scripting (XSS)

Durch Ausnutzen dieser Sicherheitslücke kann ein Angreifer bewirken, dass mit jedem Aktivieren des Wartungsmodus ein Redirect eingerichtet wird. Dieser könnte unbedarfte Besucher dann bspw. auf eine ähnliche, aber vom Angreifer kontrollierte Domain umleiten, welche zudem vom Design ans Original angepasst werden kann. Versucht sich ein User auf dieser Fake-Seite anzumelden, können seine Zugangsdaten gestohlen werden. Außerdem ist es möglich, auf der eigentlichen Wartungsseite gezielt ein manipuliertes Login-Formular einzubinden, welches das gleiche Ziel verfolgt. Auch Session-Cookies könnten gestohlen werden und mehr, daher raten wir dringend zum Update.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (5.1.2) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10283
mehr Details unter:
https://www.getastra.com/blog/911/plugin-exploit/stored-xss-coming-soon-page-maintenance-mode-plugin/
https://www.jinsonvarghese.com/stored-xss-coming-soon-maintenance-mode-wordpress-plugin/
https://wordpress.org/plugins/coming-soon/#developers

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 

 

! Kostenloser Speedtest (CTA-Box) - 04/22 - /blog/

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

Mit dem Absenden dieses Formulars stimmst du unseren Datenschutzbestimmungen zu.

 

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 55.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.