Sicherheitslücke bei WordPress-Plugin: WPBakery Page Builder

wordpress plugin wp bakery builder sicherheitslücke

Aktuell wurde eine Sicherheitslücke bei dem beliebten WordPress Plugin WPBakery Page Builder entdeckt. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

Das WordPress Plugin: WPBakery Page Builder

Der WPBakery Builder gehört zu den beliebtesten Page Buildern für WordPress überhaupt. Damit lässt sich sowohl Frontend als auch Backend bequem bearbeiten. Er enthält zahlreiche Vorlagen und und Content Elements, an denen man sich zum Bau seiner Seite bedienen kann. Neben der sehr hohen Kompatibilität mit allen möglichen Themes, bietet er über den sogenannten Skin Builder auch die Möglichkeit, eigene Farbschemen anzulegen und zu verwenden. Entwickler haben zusätzlich über die WPBakery API erweiterte Möglichkeiten und wenn es mal Fragen gibt, erreicht man einen zuverlässigen Online-Support.
Das Plugin zählt laut Entwickler aktuell über 4.300.000 Nutzer.

 


Bekannt geworden 22.09.2020:

Sicherheitslücke: Authenticated Stored Cross-Site Scripting (XSS)

Durch diese Sicherheitslücke konnte jeder eingeloggte Nutzer -mit Zugriff auf diesen Pagebuilder- Beiträge erstellen, in die er beliebig HTML und JavaSkript Code einbinden konnte. Solcher Schadcode konnte außerdem auch in die Posts anderer Nutzer eingebaut werden. Solcher Code konnte dadurch bspw. auch in Buttons eingebaut werden, wodurch er bei einem Klick durch Besucher von deren Browser ausgeführt wurde. Das birgt in der Folge viele Gefahren für unbedarfte Besucher, von Backdoor bis zur Übernahme ganzer Seiten.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (6.4.1) aktualisiert wird. 

Quelle: https://wpvulndb.com/vulnerabilities/10422
Mehr Details zur Sicherheitslücke (Englisch): https://www.wordfence.com/blog/2020/10/vulnerability-exposes-over-4-million-sites-using-wpbakery/

 

Falls du unsere WordPress-Wartung SecurePlan gebucht hast, haben wir das notwendige Sicherheitsupdate bereits für dich durchgeführt.

 


Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.


 

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.