Sicherheitslücke bei WordPress-Plugin: WPS Hide Login

29. Januar 2020
|In Security
|Von Johannes

Sicherheitslücke WPS Hide Login
Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plugin „WPS Hide Login“ by WPServeur gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Das WordPress Plugin: WPS Hide Login by WPServeur

WPS Hide Login ist ein schlichtes Plugin, mit dem man ganz leicht die URL der Login-Page ändern kann. Es ändert dabei keine Core-Dateien und bennent auch keine um. Es schaltet sich einfach vor die Seitenanfrage und funktioniert auf jeder WordPress-Webseite. Das wp-admin-Verzeichnis und die wp-login.php-Seite sind dann nur noch über diese URL zu erreichen. Deaktiviert man das Plugin, ist wieder alles wie gehabt.
Das Plugin zählt laut WordPress.org aktuell über 400.000 aktive Nutzer.

 

Bekannt geworden am 28.01.2019:

Sicherheitslücke: Bypass – Secret Login Page Disclosure

Diese inzwischen behobene Sicherheitslücke ermöglicht es einem Angreifer, mit einem kleinen Trick Zugriff zur geheimen Login-Seite zu erhalten. Dadurch können in der Folge weitere Angriffe gestartet werden. Das Risiko ist nicht sehr groß, dennoch ist ein Update nach einer solchen Veröffentlichung stets die richtige Entscheidung.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (1.5.5) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10046

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.


 

Bekannt geworden am 24.07.2019:

Sicherheitslücke: Multiple Protection Bypasses

Hier wurden mehrere Lücken in der Funktionalität des Plugins gefunden. Zwar ist keine dieser Lücken an sich kritisch, jedoch verfehlt das Plugin so gegebenenfalls seinen Zweck.
Diese Sicherheitslücken können geschlossen werden, indem das Plug-In auf die neueste Version (1.5.3) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9469

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.