Sicherheitslücke im WordPress-Plugin: All In One WP Security & Firewall

14. September 2020
|In Security
|Von Johannes

all in one wp security & firewall

Aktuell wurde eine Sicherheitslücke bei dem WordPress Plugin All In One WP Security & Firewall gemeldet. Was zu tun ist, Details zur Sicherheitslücke und allgemeine Infos zum Plugin findet ihr regelmäßig in unserem Blog — für relevante Sicherheitslücken bei beliebten Plugins ab 100.000+ aktiven Nutzern.

 

Das WordPress Plugin: All In One WP Security & Firewall

All In One WP Security & Firewall ist ein benutzerfreundliches WordPress-Sicherheitsplugin. Es ist komplett kostenlos und bietet von einer leicht zu nutzenden Firewall bis zu den aktuellsten Sicherheitstechniken viele Features, um dein WordPress gegen Angriffe abzusichern.
All In One WP Security & Firewall ist sehr beliebt und zählt laut WordPress.org aktuell über 900.000 aktive Nutzer.

 

Bekannt geworden 10.09.2020:

Sicherheitslücke: CSRF & XSS

Wenn ein Admin einen veralteten Browser im Einsatz hat, bestand hier die Gefahr über CSRF und XSS. Wenn ein Admin einen vom Angreifer manipulierten Link aufruft, kann das dazu führen, dass schließlich bösartiger Code im Browser eines Besuchers ausgeführt wird. Ein manipulierter Link kann in diesem Falle etwa so aussehen: 

http://website.invalid.com/wp-admin/options-general.php?page=plugin-settings&tab=“><script>alert(document.domain)</script>  

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (4.4.4) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/10397
Mehr Details zur Sicherheitslücke (Englisch): https://blog.sucuri.net/2020/09/reflected-xss-in-wordpress-plugin-admin-pages.html

 

Falls du unsere WordPress-Wartung SecurePlan gebucht hast, haben wir das notwendige Sicherheitsupdate bereits für dich durchgeführt.

 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.


Bekannt geworden am 08.10.2019

Sicherheitslücke: Open Redirect & Hidden Login Page exposure

Das Plugin hat bis zur aktuellen Version eine Open Redirect-Sicherheitslücke, wodurch Besucher auf schadhafte Seiten umgeleitet werden können. Dabei können dann Nutzer- und Logindaten erschlichen werden oder sonstiger schädlicher Content verbreitet werden.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (4.4.2) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9898

 

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.