Alle WordPress-Sicherheitslücken im Monatsrückblick:

Sicherheitslücke bei WordPress-Plugin: Maintenance

Aktuell wurde uns eine Sicherheitslücke bei dem WordPress Plugin Maintenance gemeldet. Wir erklären euch kurz, was ihr tun könnt, wenn ihr das Plug-In für eure WordPress-Seite nutzt.

 

Das WordPress Plugin: Maintenance

Mit dem Plugin Maintenance können Administratoren eine Website zu Wartungszwecken vom Netz nehmen. Für Suchmaschinen lässt sich der Status „503 Service temporarily unavailable“ einstellen. Über die Plugin-Optionen lässt sich eine temporäre Ersatzseite mit Login-Möglichkeit einrichten. Das Aussehen lässt sich für alle Geräte einfach einrichten.

Maintenance zählt laut WordPress.org aktuell 600.000+ aktive Installationen.

 

---

Veröffentlicht am 21.07.2021:

Sicherheitslücke: Authenticated Stored XSS

Das Plugin bereinigt einige seiner Einstellungen nicht richtig, sodass High-Privilege-Benutzer, wie Administratoren Cross-Site Scripting Nutzlast in ihnen sehen können (auch wenn die unfiltered_html-Funktion nicht erlaubt ist), die im Frontend ausgelöst werden.

Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die Version (4.03) aktualisiert wird.

Quelle: https://wpscan.com/vulnerability/174b2119-b806-4da4-a23d-c19b552c86cb

 

Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.

 

---

 

 

---

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.