Alle WordPress-Sicherheitslücken monatlich zusammengefasst:

Sicherheitslücke im WordPress-Plugin: All In One WP Security & Firewall

Aktuell wurde eine Sicherheitslücke bei dem WordPress Plugin All In One WP Security & Firewall gemeldet. Was zu tun ist, Details zur Sicherheitslücke und allgemeine Infos zum Plugin findet ihr regelmäßig in unserem Blog — für relevante Sicherheitslücken bei beliebten Plugins ab 100.000+ aktiven Nutzern.

Das WordPress Plugin: All In One WP Security & Firewall

All In One WP Security & Firewall ist ein benutzerfreundliches WordPress-Sicherheitsplugin. Es ist komplett kostenlos und bietet von einer leicht zu nutzenden Firewall bis zu den aktuellsten Sicherheitstechniken viele Features, um dein WordPress gegen Angriffe abzusichern.
All In One WP Security & Firewall ist sehr beliebt und zählt laut WordPress.org aktuell über 900.000 aktive Nutzer.

Bekannt geworden 10.02.2021:

Sicherheitslücke: Authenticated Cross-Site Scripting (XSS)

Cross-Site-Scripting ist eine Art der HTML Injektion. Cross-Site-Scripting kann dann geschehen, wenn Eingaben von einem nicht authentifizierten User ohne die notwendige Überprüfung an einen Browser weitersendet. So kann ein Angreifer unter anderem indirekt Skripte an den Browser des Opfers senden, um so Schadcode direkt auf der Seite des Clients auszuführen. In diesem konkreten Fall konnte Administratoren erlaubt werden, bösartige UA mit XSS-Nutzlasten unter bestimmten Bedingungen einzugeben.

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (4.4.6) aktualisiert wird.
Quelle: https://wpscan.com/vulnerability/b2e65549-b0d2-47a9-8d38-0b798f1122cc

Falls du unsere WordPress-Wartung SecurePlan gebucht hast, haben wir das notwendige Sicherheitsupdate bereits für dich durchgeführt.

Bekannt geworden 10.09.2020:

Sicherheitslücke: CSRF & XSS

Wenn ein Admin einen veralteten Browser im Einsatz hat, bestand hier die Gefahr über CSRF und XSS. Wenn ein Admin einen vom Angreifer manipulierten Link aufruft, kann das dazu führen, dass schließlich bösartiger Code im Browser eines Besuchers ausgeführt wird. Ein manipulierter Link kann in diesem Falle etwa so aussehen:

http://website.invalid.com/wp-admin/options-general.php?page=plugin-settings&tab=“><script>alert(document.domain)</script>  

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (4.4.4) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10397
Mehr Details zur Sicherheitslücke (Englisch): https://blog.sucuri.net/2020/09/reflected-xss-in-wordpress-plugin-admin-pages.html

Falls du unsere WordPress-Wartung SecurePlan gebucht hast, haben wir das notwendige Sicherheitsupdate bereits für dich durchgeführt.

Bekannt geworden am 08.10.2019

Sicherheitslücke: Open Redirect & Hidden Login Page exposure

Das Plugin hat bis zur aktuellen Version eine Open Redirect-Sicherheitslücke, wodurch Besucher auf schadhafte Seiten umgeleitet werden können. Dabei können dann Nutzer- und Logindaten erschlichen werden oder sonstiger schädlicher Content verbreitet werden.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (4.4.2) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9898

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.