Aktuell wurde uns eine Sicherheitslücke bei dem beliebten WordPress Plugin Jetpack by automattic gemeldet. Was zu tun ist, Details zur Sicherheitslücke und allgemeine Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.
Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ frei nutzbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt, solche Sicherheitslücken aufzudecken, damit diese behoben werden können.
Das WordPress-Plugin – Jetpack by automattic
Erstelle und personalisiere deine WordPress-Website von Anfang bis Ende. Jetpack bietet viele Funktionen. Design, Marketing und Sicherheit völlig stressfrei – alles an einem Ort. Jetpack bringt hunderte professionelle Themes für jede Art von Website mit, ermöglicht dir eine schnelle Bereitstellung von Bildern und Videoinhalten, sowie verzögertes Laden von Bildern für eine schnellere Anzeige auf Mobilgeräten und Integration der offiziellen mobilen WordPress-Apps. Außerdem kannst du mit dem Plugin die Performance deiner Webseite messen, Ads schalten und musst dir keine Sorgen um Datenverlust, Ausfallzeiten und Hacker machen.
Jetpack zählt laut WordPress.org aktuell über fünf Millionen aktive Nutzer.
Bekannt geworden am 19.11.2019:
Sicherheitslücke im Shortcode Embed Code
Seit 2017 bzw. Jetpack 5.1 bestand diese Lücke unbemerkt. Nun da sie veröffentlicht und behoben wurde, gilt es aber schleunigst zu updaten! Bei derart verbreiteten Plugins besteht schlicht ein sehr hohes Risiko. Weitere Details stehen uns aktuell nicht zur Verfügung.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (7.9.1) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9955
———
Bekannt geworden am 12.12.2018:
Sicherheitslücke: Authenticated Cross-Site Scripting (XSS)
Es wurde eine Sicherheitslücke gefunden, die sich auf ein Modul auswirkt, das für Premium- und professionelle Benutzer von Jetpack verfügbar ist. Angreifer, die die Kontrolle über ein Konto auf der Zielseite mit mindestens den Contributor-Privilegien erlangt haben, können beliebigen JavaScript-Code in das HTML Markup eines Blog-Posts einfügen. Sobald der Administrator der Zielseite den bösartigen Blog-Post sieht, wird böser Java Script-Code ausgeführt, der den Zielserver gefährdet. Die Sicherheitslücke betrifft die Versionen 6.4.2 und älter. Aktualisiere das Plugin auf die neueste Version, um die Sicherheitslücke zu schließen.
Quelle: https://wpvulndb.com/vulnerabilities/9168
Falls du über den HostPress SecurePlan verfügst, erhältst du Sicherheitsupdates dieser Art unmittelbar nach Bekanntgabe der Sicherheitslücke.
Mehr aktuelle und beliebte Beiträge rund um WordPress & Co.:
Alle WordPress-Sicherheitslücken ▶Dezember 2020 – Plugin, Theme, Core
Alle Sicherheitslücken der anderen Monate findest du hier:……
HTTP/3 – Good bye TCP, hallo QUIC – ein Ausblick
HTTP/3 – das nächste HTTP Major Release Das Hypertext Transfer Protocol (HTTP) ist eine der…
Alle WordPress-Sicherheitslücken ▶November 2020 – Plugin, Theme, Core
Alle Sicherheitslücken der anderen Monate findest du hier:……
Was ist Managed WordPress Hosting und was unterscheidet HostPress von anderen Anbietern?
Was ist Managed WordPress Hosting? …und worauf man bei der Wahl des richtigen Anbieters…