Alle WordPress-Sicherheitslücken im Monatsrückblick:

Sicherheitslücke bei WordPress-Plugin: Maintenance

Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plugin Maintenance gemeldet. Wir erklären euch kurz, was ihr tun könnt, wenn ihr das Plug-In für eure WordPress-Seite nutzt.

Das WordPress Plugin: Maintenance

Mit dem Plugin Maintenance können Administratoren eine Website zu Wartungszwecken vom Netz nehmen. Für Suchmaschinen lässt sich der Status „503 Service temporarily unavailable“ einstellen. Über die Plugin-Optionen lässt sich eine temporäre Ersatzseite mit Login-Möglichkeit einrichten. Das Aussehen lässt sich für alle Geräte einfach einrichten.

Maintenance zählt laut WordPress.org aktuell 600.000+ aktive Installationen.

Veröffentlicht am 21.07.2021:

Sicherheitslücke: Authenticated Stored XSS

Das Plugin bereinigt einige seiner Einstellungen nicht richtig, sodass High-Privilege-Benutzer, wie Administratoren Cross-Site Scripting Nutzlast in ihnen sehen können (auch wenn die unfiltered_html-Funktion nicht erlaubt ist), die im Frontend ausgelöst werden.

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (4.03) aktualisiert wird.

Quelle: https://wpscan.com/vulnerability/174b2119-b806-4da4-a23d-c19b552c86cb

Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.