Sicherheitslücke bei WordPress-Plugin: Real-Time Find and Replace

WordPress Plugin Sicherheitslücke Real time find and replaceAktuell wurde uns eine Sicherheitslücke bei dem beliebten WordPress Plugin Real-Time Find and Replace gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Das WordPress-Plugin: Real-Time Find and Replace by Infolific

Das Plugin ermöglicht es, textliche Inhalte an der Schnittstelle vor der Auslieferung zum Browser zu ändern. So ist es bspw. möglich, auf einer beliebigen Seite den Text im Footer zu ändern, ohne das Theme selbst anzufassen. Dazu gibt man einfach den zu ersetzenden Text ein und natürlich, wodurch er ersetzt werden soll. Auf die Ladezeit hat dies nur minimale Auswirkungen, solange man nicht die komplette Seite umtextet. So lassen sich beispielsweise auch Elemente übersetzen, die von einem Plugin in einer anderen Sprache ausgegeben werden, was äußerst nützlich sein kann.
Das Plugin zählt laut WordPress.org aktuell über 100.000 aktive Installationen.

 

 


Bekannt geworden am 27.04.2020:

Sicherheitslücken: Cross-Site Request Forgery to Stored Cross-Site Scripting

Durch diese Lücke kann ein beliebiger User bösartiges Javaskript überall auf einer Seite einzuspielen, sofern es zuvor gelingt, einen Administrator auf einen manipulierten Link, der bspw. in einem Kommentar oder in einer Email ausgegeben wird, zu klicken. Dieser bösartige Code kann dann bspw. dazu verwendet werden, einen neuen Administrator-Account anzulegen, wodurch eine komplette Seite übernommen werden kann. Es können auch Sitzungs-Cookies gestohlen oder Besucher auf weitere bösartige Seiten umgeleitet werden. Dadurch können wiederum gewöhnliche Besucher der betroffenen Seite infiziert werden.

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (4.0.2) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10193
mehr Details (Englisch) unter: https://www.wordfence.com/blog/2020/04/high-severity-vulnerability-patched-in-real-time-find-and-replace-plugin/

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.


 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

 


 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.