WordPress-Schwachstellenbericht: Mai 2021, Teil 1

Veröffentlicht: 2021-05-05

Anfällige Plugins und Themes sind der Hauptgrund, warum WordPress-Websites gehackt werden. Dieser Bericht befasst sich mit aktuellen WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Themes auf Ihrer Website ausführen.

Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die verantwortungsvolle Offenlegung und Meldung von Schwachstellen ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community. Bitte teile diesen Beitrag mit deinen Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.

Im Mai, Teil 1 Bericht

WordPress Core-Schwachstellen

Im Mai 2021 wurden bisher keine neuen WordPress-Core-Schwachstellen bekannt.

WordPress 5.7.1 wurde am 15. April 2021 veröffentlicht. Diese Sicherheits- und Wartungsversion enthält 26 Fehlerkorrekturen zusätzlich zu zwei Sicherheitskorrekturen. Da es sich um eine Sicherheitsversion des WordPress-Kerns handelt, wird empfohlen, dass Sie Ihre Websites sofort aktualisieren.

Schwachstellen im WordPress-Plugin

1. AcyMailing

Sicherheitslücke : Open Redirect
Gepatcht in Version : 7.5.0
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 7.5.0+ aktualisieren.

2. Gib WP

Sicherheitslücke : Authentifiziertes gespeichertes Cross-Site-Scripting
Gepatcht in Version : 2.10.4
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.10.4+ aktualisieren.

3. Download-Manager

Sicherheitslücke : Änderung der Plugin-Einstellungen über CSRF
Gepatcht in Version : 3.1.22
Schweregrad : Mittel

Sicherheitslücke : Unbefugte Nutzung des Asset Managers
Gepatcht in Version : 3.1.23
Schweregrad : Hoch

Sicherheitslücke : Authentifizierter PHP4-Datei-Upload zu RCE
Gepatcht in Version : 3.1.19
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.1.23+ aktualisieren.

4. Spamschutz, AntiSpam, FireWall von CleanTalk

Sicherheitslücke : Nicht authentifizierte Blind-SQL-Injection
Gepatcht in Version : 5.153.4
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 5.153.4+ aktualisieren.

5. WP-Kundenbewertungen

Sicherheitslücke : Authentifiziertes gespeichertes Cross-Site-Scripting
Gepatcht in Version : 3.5.6
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.5.6+ aktualisieren.

Schwachstellen im WordPress-Theme

1. Gehe zu

Sicherheitslücke : Nicht authentifizierte Blind-SQL-Injection
Gepatcht in Version : 2.1
Schweregrad : Kritisch

Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 2.1
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.1+ aktualisieren.

Ein Hinweis zur verantwortungsvollen Offenlegung

Sie fragen sich vielleicht, warum eine Schwachstelle offengelegt wird, wenn sie Hackern einen Exploit zum Angriff bietet. Nun, es ist sehr üblich, dass ein Sicherheitsforscher die Schwachstelle findet und dem Softwareentwickler privat meldet.

Bei verantwortungsvoller Offenlegung erfolgt der erste Bericht des Forschers privat an die Entwickler des Unternehmens, dem die Software gehört, jedoch mit der Vereinbarung, dass die vollständigen Details veröffentlicht werden, sobald ein Patch verfügbar ist. Bei erheblichen Sicherheitslücken kann es zu einer leichten Verzögerung bei der Offenlegung der Sicherheitslücke kommen, damit mehr Personen Zeit für das Patchen haben.

Der Sicherheitsforscher kann dem Softwareentwickler eine Frist setzen, um auf den Bericht zu antworten oder einen Patch bereitzustellen. Wird diese Frist nicht eingehalten, kann der Forscher die Schwachstelle öffentlich offenlegen, um Druck auf den Entwickler auszuüben, einen Patch herauszugeben.

Die öffentliche Offenlegung einer Sicherheitslücke und die scheinbare Einführung einer Zero-Day-Sicherheitslücke – eine Art von Sicherheitslücke, die keinen Patch hat und in freier Wildbahn ausgenutzt wird – mag kontraproduktiv erscheinen. Dies ist jedoch der einzige Hebel, mit dem ein Forscher den Entwickler unter Druck setzen kann, die Schwachstelle zu schließen.

Wenn ein Hacker die Schwachstelle entdeckt, könnte er den Exploit stillschweigend nutzen und dem Endbenutzer (das sind Sie) Schaden zufügen, während der Softwareentwickler damit zufrieden ist, die Schwachstelle ungepatcht zu lassen. Googles Project Zero hat ähnliche Richtlinien, wenn es um die Offenlegung von Sicherheitslücken geht. Sie veröffentlichen die vollständigen Details der Schwachstelle nach 90 Tagen, unabhängig davon, ob die Schwachstelle gepatcht wurde oder nicht.

So schützen Sie Ihre WordPress-Website vor anfälligen Plugins und Themes

Der Site Scanner des iThemes Security Pro-Plugins ist eine weitere Möglichkeit, Ihre WordPress-Website vor der Hauptursache aller Software-Hacks zu schützen und zu schützen: veraltete Plugins und Themes mit bekannten Schwachstellen. Der Site Scanner überprüft Ihre Site auf bekannte Schwachstellen und wendet automatisch einen Patch an, falls einer verfügbar ist.

Die 3 geprüften Arten von WordPress-Sicherheitslücken

WordPress-Sicherheitslücken
Plugin-Sicherheitslücken
Thema Schwachstellen

Um die Site - Scan auf Neuinstallationen, navigieren Sie zu dem iThemes Security Pro Einstellungen zu aktivieren und klicken Sie auf die Schaltfläche Aktivieren auf der Site Scan - Einstellungen Modul.

Um einen manuellen Site-Scan auszulösen, klicken Sie im Site-Scan-Widget in der rechten Seitenleiste der Sicherheitseinstellungen auf die Schaltfläche Jetzt scannen .

Die Site-Scan-Ergebnisse werden im Widget angezeigt.

Wenn der Site Scan eine Schwachstelle erkennt, klicken Sie auf den Link zur Schwachstelle, um die Detailseite anzuzeigen.

Auf der Seite Site Scan-Schwachstelle sehen Sie, ob ein Fix für die Schwachstelle verfügbar ist. Wenn ein Patch verfügbar ist, können Sie auf die Schaltfläche Update Plugin klicken, um den Fix auf Ihrer Website anzuwenden.

Es kann eine Verzögerung zwischen der Verfügbarkeit eines Patches und der Aktualisierung der iThemes-Sicherheitslückendatenbank geben, um den Fix widerzuspiegeln. In diesem Fall können Sie die Benachrichtigung stummschalten, um keine weiteren Warnungen im Zusammenhang mit der Sicherheitsanfälligkeit zu erhalten.

Wichtig: Sie sollten eine Sicherheitslückenbenachrichtigung nicht stummschalten, bis Sie bestätigt haben, dass Ihre aktuelle Version einen Sicherheitsfix enthält oder die Sicherheitsanfälligkeit keine Auswirkungen auf Ihre Site hat.

iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 50 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzufügen.

Holen Sie sich iThemes Security Pro

Michael Moore

Jede Woche erstellt Michael den WordPress-Schwachstellenbericht, um die Sicherheit Ihrer Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein riesiger Nerd und liebt es, alles über Technik zu lernen, alt und neu. Sie können Michael mit seiner Frau und seiner Tochter treffen, lesen oder Musik hören, wenn er nicht arbeitet.