Sicherheitslücke bei WordPress-Plugin: Rank Math

Sicherheitslücke WordPress Plugin Rank Math

Aktuell wurde uns eine Sicherheitslücke bei dem beliebten WordPress SEO-Plugin Rank Math gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Das WordPress-Plugin: Rank Math by RankMath.com

Das Plugin Rank Math bietet alle üblichen Features, um ein WordPress für Suchmaschinen zu optimieren. Darüber hinaus bietet es auch exklusive Features, wie eine Integration der Google Search Console und der Google Rankings ins WordPress-Dashboard. Außerdem ermöglicht eine Integration von Google Rich Snippets dem User aktuell eine einfache Implementierung von 13 Schema Markups wie bspw. FAQ- oder Rezensionssnippets.
Das Plugin zählt laut WordPress.org aktuell über 300.000 aktive Nutzer.

 


Bekannt geworden am 16.06.2020:

Sicherheitslücke: Deaktivierung von Plugins wegen fehlender Zugriffsbeschränkung

Durch mangelhafte Zugriffskontrolle ist es einem authentifizierten User ohne eigentliche Priviliegien (bspw. ein Subscriber) möglich, die SEO- und Sitemap-Plugins anderer Mitbewerber zu deaktivieren. Das gleiche ist über CSFR möglich, mit einem manipulierten Link.

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (1.0.42.2) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10271
mehr Details (Englisch) unter: https://rankmath.com/changelog/

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.


Bekannt geworden am 31.03.2020:

kritische Sicherheitslücken: Privilege Escalation + Redirect Creation

Über den REST-API Endpunkt rankmath/v1/updateMeta können -wegen unzureichender Überprüfung der Eingaben- Meta-Daten von Posts, Kommentaren aber auch Benutzern manipuliert werden. Letzteres bedeutet, dass ein unauthentifizierter Nutzer auch beliebig Administratorrechte vergeben oder entziehen kann, mit allen entsprechenden und kritischen Folgen. Der REST-API Endpunkt rankmath/v1/updateRedirection ermöglicht darüber hinaus -an vielen Stellen der Seite außer der auf der Homepage- beliebige Redirects einzubauen.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (1.0.41) aktualisiert wird.
Quellen: https://wpvulndb.com/vulnerabilities/10157 und https://wpvulndb.com/vulnerabilities/10158
mehr Details (Englisch) unter: https://www.wordfence.com/blog/2020/03/critical-vulnerabilities-affecting-over-200000-sites-patched-in-rank-math-seo-plugin/

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.


 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

 


 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.

 

Mehr beliebte Beiträge zu WordPress:

better search replace - wordpress plugin
Better Search Replace – im Plugin Spotlight

WordPress Plugin-Spotlight: Better Search Replace   Inhaltsverzeichnis:  Better Search Replace -…


sicherheitslücken digest august
Alle Sicherheitslücken im August 2020

Alle veröffentlichten Sicherheitslücken – August 2020  …


wp cron und wordpress cronjobs
WP-Cron deaktivieren für mehr Performance – 1-Klick-Lösung und Tutorial

WordPress Cronjobs (per wp-cron.php) sind eine integrierte Funktion, mit der sich zeitgesteuerte…


wordpress hosting sicherheit
Alle Sicherheitslücken im Juli 2020

Alle veröffentlichten Sicherheitslücken – Juli 2020  …


HostPress GmbH WordPress Hosting, Webhosting, Managed Hosting hat 4,95 von 5 Sternen 192 Bewertungen auf ProvenExpert.com

HostPress® ist Partner von:

Managed WordPress Hosting aus Deutschland

Bekannt aus: