Aktuell wurde eine Sicherheitslücke bei dem beliebten WordPress-Plugin Coming Soon von SeedProd gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.
Das WordPress-Plugin: Coming Soon von SeedProd
Das beliebte Plugin Coming Soon ermöglicht es WordPress-Admins, eine Wartungsseite an Besucher auszugeben, falls die eigentliche Seite durch Aktualisierungen im Hintergrund vorrübergehend nicht erreichbar ist. Dies ist bei korrekter Verwendung einer Staginglösung jedoch nicht unbedingt erforderlich. Hier kann man Änderungen zunächst auf Darstellung und Funktionalität prüfen, um sie dann direkt zu synchronisieren. Sehr sinnvoll ist das Plugin aber für Projekte im Aufbau. So kann eine Seite auch vor Veröffentlichung schon von Suchmaschinen gecrawlt und indexiert werden und zudem können auch schon Email-Adressen von Interessenten gesammelt werden – bspw. über MailChimp, ActiveCampaign oder einfach in die WordPress-Datenbank.
Das Plugin zählt laut WordPress.org aktuell über 1.000.000 aktive Nutzer.
Bekannt geworden am 25.06.2020:
Sicherheitslücke: Authenticated Stored Cross Site Scripting (XSS)
Durch Ausnutzen dieser Sicherheitslücke kann ein Angreifer bewirken, dass mit jedem Aktivieren des Wartungsmodus ein Redirect eingerichtet wird. Dieser könnte unbedarfte Besucher dann bspw. auf eine ähnliche, aber vom Angreifer kontrollierte Domain umleiten, welche zudem vom Design ans Original angepasst werden kann. Versucht sich ein User auf dieser Fake-Seite anzumelden, können seine Zugangsdaten gestohlen werden. Außerdem ist es möglich, auf der eigentlichen Wartungsseite gezielt ein manipuliertes Login-Formular einzubinden, welches das gleiche Ziel verfolgt. Auch Session-Cookies könnten gestohlen werden und mehr, daher raten wir dringend zum Update.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (5.1.2) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10283
mehr Details unter:
https://www.getastra.com/blog/911/plugin-exploit/stored-xss-coming-soon-page-maintenance-mode-plugin/
https://www.jinsonvarghese.com/stored-xss-coming-soon-maintenance-mode-wordpress-plugin/
https://wordpress.org/plugins/coming-soon/#developers
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.
Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 55.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.
Mehr aktuelle Beiträge rund um WordPress & Co.: