WordPress Sicherheitslücken kritisch - Übersicht Mai 2020

Alle veröffentlichten Sicherheitslücken – Mai 2020

 

Inhaltsverzeichnis:

  1. Warum bin ich eigentlich hier?
  2. Großangelegte Malwarekampagnen und die Gefahren
  3. Sicherheitslücken (Mai) bei prominenten Plugins
  4. Alle Sicherheitslücken (Mai)
  5. Wie gefährlich ist eine spezifische Lücke? (CVSS)

Warum diese Zusammenfassung?

Mit Beiträgen wie diesem möchten wir uns daran beteiligen, die allgemeine Sicherheit der WordPress-Welt zu verbessern. Daher werden wir fortan eine monatliche Zusammenfassung aller auf wpvulndb.com veröffentlichten Sicherheitslücken erstellen, sodass sich jeder WordPress-Nutzer auf die Schnelle informieren kann. Tatsächlich werden für großangelegte Hackingkampagnen häufig alte Sicherheitslücken missbraucht… Update-Stau gehört in der WordPress-Realität leider zum Alltag.

Niemand riskiert gerne Inkompatibilitäten und nur wenige finden im Tagesgeschäft Zeit für ordnungsgemäße Pflege und Updates der Plugins. Da sich daran so einfach auch nichts ändern lässt, wäre es doch äußerst hilfreich, wenn zumindest die notwendigen Sicherheitsupdates vorgenommen würden. Diese machen im Allgemeinen übrigens bloß einen kleinen Anteil aller Updates aus.

Also:

  • Zehn Minuten pro Monat diese Liste überfliegen
  • betroffene Schwachstellen beheben
  • langfristig auf der sicheren Seite sein! 💪🤓

 

Für Plugins und Themes ab 100.000+ aktiven Nutzern, veröffentlichen wir außerdem eigene aktuelle Blogbeiträge, um unsere Follower auf dem Laufenden zu halten.

Über die Risiken:

Da es für das bedeutendste CMS der Welt –WordPress– alleine auf wordpress.org bereits über 55.000 verschiedene Plugins zur Erweiterung und Optimierung der Funktionen gibt, ergibt sich daraus gleichzeitig eine große Angriffsfläche für Hacking- und Malwarekampagnen. Kritische Sicherheitslücken gefährden immer wieder die Sicherheit von Kundendaten, für welche man als Webseitenbetreiber eigentlich die Verantwortung trägt. Daneben stellen betroffene Seiten auch häufig eine Infektionsquelle für unbedarfte Besucher dar und sogar die administrative Kontrolle über eine Seite kann kurzfristig komplett verloren gehen. Sicherheitslücken in Plugins werden immer häufiger genutzt um darauf Malware-Kampagnen, also automatisierte Angriffswellen, aufzubauen und durchzuführen.

Wenn man hingegen gewisse Sicherheitsvorkehrungen trifft, oder bei einem Managed WordPress Hoster untergebracht ist, der solche Maßnahmen standardmäßig trifft und gleichzeitig seine Plugins auf den neuesten Stand hält, darf man hingegen von einer sehr hohen Sicherheit seiner Webpräsenz ausgehen. Halten wir fest:

Insgesamt stellen die in WordPress-Plugins auftretenden Sicherheitslücken die größte Gefahr für Webseiten, deren Besucher sowie Kundendaten dar. Und diese ist gerade dann besonders groß, wenn derartige Sicherheitslücken erst einmal veröffentlicht worden sind. Denn alle WordPress-Betreiber, die auch danach kein Update vornehmen, werden zur potentiellen Zielscheibe für Angreifer. Diese bedienen sich bloß entlang der publizierten Lücken und können darauf gezielte Malware-Kampagnen aufbauen.

Neben den standardmäßigen Sicherheitsvorkehrungen bieten wir bei HostPress® speziell hierfür einen Update-Service als Dienstleistung an, unseren SecurePlan. Dabei nehmen unsere WordPress-Experten regelmäßige Sicherheitsupdates vor und prüfen deine Seite im Anschluss zusätzlich auf korrekte Funktionalität.

Übersicht für Mai 2020  — beliebte Plugins / Themes mit 100.000+ Nutzern

Alle Sicherheitslücken im Mai 2020

alphabetisch sortiert + Risikobewertung via CVSS

 

Add-on SweetAlert Contact Form 7 < 1.0.8LOW (CVSS 3,8)
Advanced Order Export For WooCommerce < 3.1.4 LOW (CVSS 3,5)

Ajax Load More < 5.3.2CRITICAL (CVSS 9)

bbPress < 2.6.5CRITICAL (CVSS 10)

Chopslider <= 3.4CRITICAL (CVSS 9,3 / NO FIX AVAILABLE)

Drag and Drop Multiple File Upload for Contact Form 7 < 1.3.3.3CRITICAL (CVSS 10)

Easy Testimonials < 3.6CRITICAL (CVSS 9,1)

Elementor < 2.9.8 MEDIUM (CVSS 5,5)

Elementor Pro < 2.9.4CRITICAL (CVSS 9,9)

Final Tiles Gallery < 3.4.19CRITICAL (CVSS 9,1)

Form Maker by 10Web <= 1.13.35 HIGH (CVSS 8,7) 

Iframe < 4.5 MEDIUM (CVSS 4,8)

Login/Signup Popup < 1.5CRITICAL (CVSS 9,9)

MapPress Maps < 2.54.6CRITICAL (CVSS 9,9)

Multi Scheduler <= 1.0.0 HIGH (CVSS 8,2) 

Official MailerLite Sign Up Forms < 1.4.5CRITICAL (CVSS 10)

Page Builder by SiteOrigin < 2.10.16 HIGH (CVSS 8,8) 

Page Builder: PageLayer – Drag and Drop website builder < 1.1.2 HIGH (CVSS 8,8) 

Paid Memberships Pro < 2.3.3 MEDIUM (CVSS 4,7)

Photo Gallery by 10Web < 1.5.55CRITICAL (CVSS 10)

Site Kit by Google < 1.8.0CRITICAL (CVSS 9,1)

Team Members < 5.0.4CRITICAL (CVSS 9,0)

ThirstyAffiliates < 3.9.3 MEDIUM (CVSS 4,6)

Ultimate Addons for Elementor < 1.24.2 HIGH (CVSS 7,2) 

Visual Composer < 27.0 HIGH (CVSS 8,7) 

WooCommerce < 4.1.0LOW (CVSS 3,5)

WP Frontend Profile < 1.2.2LOW (CVSS 3,1)

WP Product Review < 3.7.6 HIGH (CVSS 7,2) 

WTI Like Post <= 1.4.5LOW (CVSS 3,8 / no fix available)

 

Themes

Avada < 6.2.3HIGH (CVSS 8,5)

Zur Bewertung des Schweregrads bzw. Risikos der veröffentlichten Sicherheitslücken

Hierzu ziehen folgen wir dem Beispiel der wpvulndb und ziehen den sogenannten CVSS-Score zur Risikobewertung heran. CVSS steht für Common Vulnerability Scoring System (wörtlich übersetzt: „Allgemeines Verwundbarkeitsbewertungssystem) und bezeichnet einen 2005 erstmals verwendeten und kontinuierlich weiterentwickelten Industriestandard zur Bewertung des Schweregrades von IT-Sicherheitslücken (https://de.wikipedia.org/wiki/CVSS). Zweck davon ist es, durch Einbeziehung verschiedener Aspekte bspw. von möglichen Konsequenzen und Schweregrad der Auswirkungen über die für einen Missbrauch benötigten Privilegien, einen schnell lesbaren Wert auf einer Skala von 1 bis 10 zu erzeugen, anhand dessen Verantwortliche dann wiederum kurzerhand Prioritäten setzen können.
Ausführliche Dokumentation zu einbezogenen Aspekten und Herleitung des CVSS (Englisch): https://www.first.org/cvss/calculator/3.1

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.