Sicherheitslücke bei WordPress-Plugin: WPS Hide Login
|29. Januar 2020Alle WordPress-Sicherheitslücken monatlich zusammengefasst:
Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plugin „WPS Hide Login“ by WPServeur gemeldet.
Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.
Das WordPress Plugin: WPS Hide Login by WPServeur
WPS Hide Login ist ein schlichtes Plugin, mit dem man ganz leicht die URL der Login-Page ändern kann. Es ändert dabei keine Core-Dateien und bennent auch keine um. Es schaltet sich einfach vor die Seitenanfrage und funktioniert auf jeder WordPress-Webseite. Das wp-admin-Verzeichnis und die wp-login.php-Seite sind dann nur noch über diese URL zu erreichen. Deaktiviert man das Plugin, ist wieder alles wie gehabt.
Das Plugin zählt laut WordPress.org aktuell über 400.000 aktive Nutzer.
Bekannt geworden am 28.01.2019:
Sicherheitslücke: Bypass – Secret Login Page Disclosure
Diese inzwischen behobene Sicherheitslücke ermöglicht es einem Angreifer, mit einem kleinen Trick Zugriff zur geheimen Login-Seite zu erhalten. Dadurch können in der Folge weitere Angriffe gestartet werden. Das Risiko ist nicht sehr groß, dennoch ist ein Update nach einer solchen Veröffentlichung stets die richtige Entscheidung.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (1.5.5) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10046
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.
Bekannt geworden am 24.07.2019:
Sicherheitslücke: Multiple Protection Bypasses
Hier wurden mehrere Lücken in der Funktionalität des Plugins gefunden. Zwar ist keine dieser Lücken an sich kritisch, jedoch verfehlt das Plugin so gegebenenfalls seinen Zweck.
Diese Sicherheitslücken können geschlossen werden, indem das Plug-In auf die neueste Version (1.5.3) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9469
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.
Mehr aktuelle Beiträge rund um WordPress & Co.:
[…] Sicherheitslücke bei WordPress-Plugin: WPS Hide Login […]