Aktuell wurde uns eine Sicherheitslücke bei dem beliebten WordPress Plugin Font Awesome gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.
Das WordPress Plugin: Font Awesome
Mit diesem Plugin könnt ihr kinderleicht Vector-Icons und Social-Logos wahlweise als SVG oder Web Font in eurem WordPress einbinden. Dabei könnt ihr die Icons über den Font Awesome CDN beziehen oder sie lokal auf dem eigenen Server laden, was i.A. die bessere Wahl ist. Die Icons werden dann einfach per Shortcode oder HTML eingebunden werden. Konkret sieht das dann so [icon name=“stroopwafel“ prefix=“fal“] oder so <i class=“fas fa-stroopwafel“></i> aus. Die Infos findet ihr aber auch allesamt nochmal auf der Webseite des Providers.
Das Plugin zählt laut WordPress.org aktuell über 100.000 aktive Nutzer.
Bekannt geworden am 12.03.2020:
Sicherheitslücke: API Token & Access Token Disclosure
Durch diese Lücke erhält ein unautorisierter User Zugriff auf dein Kit und die Kit-Settings. Nach dem Update muss bloß noch der API-Token im WordPress erneuert werden, damit wieder alle Funktionalitäten hergestellt sind. Wie das funktioniert, ist im unten verlinkten Blog nochmals detailliert erklärt.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (4.0.0-RC17) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10122
mehr Details (Englisch) unter: https://blog.fontawesome.com/font-awesome-wordpress-plugin-api-token-vulnerability-fixed/
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.
Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.
Mehr aktuelle Beiträge rund um WordPress & Co.: