Alle Sicherheitslücken der anderen Monate findest du hier:

Alle WordPress-Sicherheitslücken – Janaur 2021

Inhaltsverzeichnis:

1. Warum bin ich eigentlich hier? Updaten ist wie Impfen.
2. Übersicht: Sicherheitslücken bei beliebten Plugins
3. Alle Sicherheitslücken im Januar – alphabetische Liste
4. Die Zukunft mit Smart Updates 💡 – Unser Gespräch zum Thema mit Jan Löffler

Warum diese Zusammenfassung?

Mit Beiträgen wie diesem möchten wir uns daran beteiligen, die allgemeine Sicherheit der WordPress-Welt zu verbessern. Daher werden wir fortan eine monatliche Zusammenfassung aller auf wpvulndb.com veröffentlichten Sicherheitslücken erstellen, sodass sich jeder WordPress-Nutzer auf die Schnelle informieren kann. Tatsächlich werden für großangelegte Hackingkampagnen häufig alte Sicherheitslücken missbraucht… Update-Stau gehört in der WordPress-Realität leider zum Alltag.

Niemand riskiert gerne Inkompatibilitäten und nur wenige finden im Tagesgeschäft Zeit für ordnungsgemäße Pflege und Updates der Plugins. Da sich daran so einfach auch nichts ändern lässt, wäre es doch äußerst hilfreich, wenn zumindest die notwendigen Sicherheitsupdates vorgenommen würden. Diese machen im Allgemeinen übrigens bloß einen kleinen Anteil aller Updates aus.

Also:

• Zehn Minuten pro Monat diese Liste überfliegen
• betroffene Schwachstellen beheben
• langfristig auf der sicheren Seite sein! 💪🤓

Für Plugins und Themes ab 100.000+ aktiven Nutzern, veröffentlichen wir außerdem eigene aktuelle Blogbeiträge, um unsere Follower auf dem Laufenden zu halten.

Über die Risiken:

Da es für das bedeutendste CMS der Welt –WordPress– alleine auf wordpress.org bereits über 55.000 verschiedene Plugins zur Erweiterung und Optimierung der Funktionen gibt, ergibt sich daraus gleichzeitig eine große Angriffsfläche für Hacking- und Malwarekampagnen. Kritische Sicherheitslücken gefährden immer wieder die Sicherheit von Kundendaten, für welche man als Webseitenbetreiber eigentlich die Verantwortung trägt. Daneben stellen betroffene Seiten auch häufig eine Infektionsquelle für unbedarfte Besucher dar und sogar die administrative Kontrolle über eine Seite kann kurzfristig komplett verloren gehen. Sicherheitslücken in Plugins werden immer häufiger genutzt um darauf Malware-Kampagnen, also automatisierte Angriffswellen, aufzubauen und durchzuführen.

Wenn man hingegen gewisse Sicherheitsvorkehrungen trifft, oder bei einem Managed WordPress Hoster untergebracht ist, der solche Maßnahmen standardmäßig trifft und gleichzeitig seine Plugins auf den neuesten Stand hält, darf man hingegen von einer sehr hohen Sicherheit seiner Webpräsenz ausgehen. Halten wir fest:

Insgesamt stellen die in WordPress-Plugins auftretenden Sicherheitslücken die größte Gefahr für Webseiten, deren Besucher sowie Kundendaten dar. Und diese ist gerade dann besonders groß, wenn derartige Sicherheitslücken erst einmal veröffentlicht worden sind. Denn alle WordPress-Betreiber, die auch danach kein Update vornehmen, werden zur potentiellen Zielscheibe für Angreifer. Diese bedienen sich bloß entlang der publizierten Lücken und können darauf gezielte Malware-Kampagnen aufbauen. Und natürlich geht gerade von diesen infektiösen Wellen auch die größte Gefahr für den durchschnittlichen User aus – eine statistische Gegebenheit.

Neben den standardmäßigen Sicherheitsvorkehrungen bieten wir bei HostPress® speziell hierfür einen Update-Service als Dienstleistung an, unseren SecurePlan. Dabei nehmen unsere WordPress-Experten regelmäßige Sicherheitsupdates vor und prüfen deine Seite im Anschluss zusätzlich auf korrekte Funktionalität.

2. Sicherheitslücken bei beliebten Plugins / Themes — Januar 2021

3. Alle Sicherheitslücken im Januar 2021 – alphabetisch sortiert

WordPress Plugins – diese 44 Meldungen zu 26 Plugins gingen ein:

• 123ContactForm
  • 123ContactForm for WordPress <= 1.5.6 – Unauthenticated Arbitrary File Upload
  • 123ContactForm for WordPress <= 1.5.6 – Unauthenticated Arbitrary Post Creation
  • 123ContactForm for WordPress <= 1.5.6 – Validation Bypass via Plugin Verification
• 301 Redirects – Easy Redirect Manager < 2.51 – Authenticated SQL Injection
• Advanced Custom Fields < 5.8.12 – Cross-Site Scripting in Select2 dropdowns
• Contact Form 7 Database Addon
  • Contact Form 7 Database Addon < 1.2.5.4 – Authenticated SQL Injections
  • Contact Form 7 Database Addon < 1.2.5.6 – CSV Injection
• Contact Form Submissions
  • Contact Form Submissions <= 1.6.4 – Authenticated Double Query SQL injection
  • Contact Form Submissions <= 1.6.4 – Authenticated SQL Injection
• Custom Global Variables <= 1.0.5 – Stored Cross-Site Scripting (XSS)
• Digital Climate Strike WP <= 1.0.0 – Redirect to Malicious Website due to Compromised JS Asset
• Doneren met Mollie < 2.8.5 – Unauthorised CSV Export leading to Sensitive Data Disclosure
• e-signature < 1.5.6.8 – Unauthenticated Arbitrary File Upload leading to RCE
• Easy Contact Form Pro < 1.1.1.9 – Authenticated Stored Cross-Site Scripting (XSS)
• Elementor < 3.0.14 – SVG Upload Allowed by Default
• Elementor Contact Form DB
  • Elementor Contact Form DB < 1.6 – Plugin Settings Cross-Site Request Forgery
  • Elementor Contact Form DB < 1.6 – Unauthenticated & Unauthorised Form Submissions Export
• FV Flowplayer Video Player < 7.4.38.727 – Authenticated Stored Cross-Site Scripting (XSS)
• Modal Survey
  • Modal Survey < 2.0.1.8.2 – Authenticated PHP Object Injection
  • Modal Survey < 2.0.1.8.2 – Authenticated Reflected Cross-Site Scripting (XSS)
  • Modal Survey < 2.0.1.8.2 – Unauthenticated Arbitrary Survey Update, Deletion and Creation
• Modern Events Calendar Lite
  • Modern Events Calendar Lite < 5.16.5 – Authenticated Arbitrary File Upload leading to RCE
  • Modern Events Calendar Lite < 5.16.5 – Authenticated Stored Cross-Site Scripting (XSS)
  • Modern Events Calendar Lite < 5.16.5 – Unauthenticated Events Export
  • Modern Events Calendar Lite < 5.16.6 – Authenticated SQL Injection
• Orbit Fox by ThemeIsle
  • Orbit Fox by ThemeIsle < 2.10.3 – Authenticated Privilege Escalation
  • Orbit Fox by ThemeIsle < 2.10.3 – Authenticated Stored Cross Site Scripting
• Simple Job Board < 2.9.4 – Authenticated Path Traversal Leading to Arbitrary File Download
• Stockdio Historical Chart < 2.8.1 – Reflected Cross-Site Scripting (XSS)
• Stripe Payments < 2.0.40 – Authenticated Stored Cross-Site Scripting (XSS)
• Super Forms <= 4.9.602 – Unauthenticated PHP4 File Upload to RCE
• uListing
  • uListing < 1.7 – Unauthenticated Arbitrary Account Change
  • uListing < 1.7 – Unauthenticated Arbitrary Account Creation
  • uListing < 1.7 – Unauthenticated Arbitrary Post/Page Deletion
  • uListing < 1.7 – Unauthenticated Arbitrary Roles and Capabilities Creation/Deletion
  • uListing < 1.7 – Unauthenticated Information Disclosure
  • uListing < 1.7 – Unauthenticated SQL Injections
  • uListing < 1.7 – Unauthenticated WordPress Options Change
• Under Construction < 3.86 – Authenticated Stored Cross-Site Scripting (XSS)
• WP Paginate < 2.1.4 – Authenticated Stored Cross-Site Scripting (XSS)
• WP Quick FrontEnd Editor
  • WP Quick FrontEnd Editor <= 5.5 – Authenticated Content Injection
  • WP Quick FrontEnd Editor <= 5.5 – Authenticated Settings Change leading to Stored XSS
• WP Shieldon 1.6.3 – Unauthenticated Cross-Site Scripting (XSS)
• WP24 Domain Check < 1.6.3 – Authenticated Stored Cross-Site Scripting (XSS)

4. Die Zukunft von WordPress-Management und -Updates

Für HostPress-Kunden und Plesk-Nutzer gibt es mittlerweile auch die Möglichkeit die Smart Updates des WordPress Toolkits einzusetzen. Diese hochmoderne Lösung zielt darauf ab, das leidige Thema Updates durch den Einsatz von Machine Learning und künstlicher Intelligenz zu bewältigen. Sobald Updates für Plugins, Themes oder Core zur Verfügung stehen, wird die Lösung eine Staging deiner Seite anlegen und diese Updates zunächst nur dort installieren. Anschließend werden alle Seiten und Unterseiten durch die KI einem visuellen Vorher-nachher-Vergleich unterzogen. Kommt es zu Abweichungen, wird der Admin per Email informiert. Wenn alles exakt wie vorher dargestellt wird und funktioniert, wird das Update automatisch auf die Produktivumgebung live eingespielt.

Kein Aufwand, keine Sorgen, kein Stress und man erfreut sich jederzeit einer maximal sicheren WordPress-Seite bezogen auf die Aktualität der WordPress-Software.

Hier findest du den Blogbeitrag zum Video: Die 💡 Zukunft des WordPress-Managements – KI für Smart Updates