WP Statistics Sicherheitslücke

Alle WordPress-Sicherheitslücken im Monatsrückblick:

Sicherheitslücke bei WordPress-Plugin: WP Statistics

Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plugin WP Statistics gemeldet. Wir erklären euch kurz, was ihr tun könnt, wenn ihr das Plug-In für eure WordPress-Seite nutzt.

 

Das WordPress Plugin: WP Statistics

Das Plugin WP Statistics ist ein Analyseplugin (500.000+ aktive Installationen) für WordPress zur Einsicht in die Nutzeraktivitäten. Welche Seiten wie gut frequentiert sind, welche Suchmaschine die Nutzer verwendet haben, oder woher sie auf deine Seite gekommen sind. Eine einfache Variante, Statistiken seiner Webseite auf DSGVO-konforme Arte zu erstellen.

 


Veröffentlicht am 19.05.2021:

Sicherheitslücke: Unauthenticated SQL Injection

Das Plugin setzte auf die Verwendung der WordPress-Funktion esc_sql () bei einem Feld ohne Anführungszeichen und bereitete die Abfrage nicht zuerst vor. Darüber hinaus war die Seite, die nur für Administratoren zugänglich sein sollte, auch für alle Besucher zugänglich, auch für nicht authentifizierte.

 

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (13.0.8) aktualisiert wird.

Quelle: https://wpscan.com/vulnerability/d2970cfb-0aa9-4516-9a4b-32971f41a19c

 

Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.

 


 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

 


Veröffentlicht am 14.05.2021:

Sicherheitslücke: Authenticated Remote Code Execution

Das Plugin setzte auf die Verwendung der WordPress-Funktion esc_sql () bei einem Feld ohne Anführungszeichen und bereitete die Abfrage nicht zuerst vor. Darüber hinaus war die Seite, die nur für Administratoren zugänglich sein sollte, auch für alle Besucher zugänglich, auch für nicht authentifizierte.

 

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (13.0.8) aktualisiert wird.

Quelle: https://wpscan.com/vulnerability/d2970cfb-0aa9-4516-9a4b-32971f41a19c

 

Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.

 


Bekannt geworden am 01.07.2019:

Sicherheitslücke: Unauthenticated Blind SQL Injection

SQL-Injektion ist ein gängiges Risiko bei datenbankgesteuerten Webseiten. Solche Sicherheitslücken sind relativ einfach aufzuspüren und ebenso leicht zu missbrauchen. Die Verwundbarkeit hängt von der Tatsache ab, dass SQL nicht zwischen Steuerungs- und Datenebene unterscheidet. In diesem Fall öffnet wird die Sicherheitslücke, wenn Cache-Plugins aktiviert sind (use cache plugin – standardmäßig deaktiviert).

 

Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version 12.6.7 aktualisiert wird.

Quelle: https://wpvulndb.com/vulnerabilities/9412

 

Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.

 


Bekannt geworden am 11.06.2019:

Sicherheitslücke: Unauthenticated Stored XSS

Durch eine Sicherheitslücke im Plug-In gelingt es dem Angreifer, einen Schadcode in eine vermeintlich vertrauenswürdige Umgebung einzubetten.

 

Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version 12.6.6.1 aktualisiert wird.

Quelle: https://wpvulndb.com/vulnerabilities/9331

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 


 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.