WordPress-Schwachstellenbericht: Mai 2021, Teil 3

Veröffentlicht: 2021-05-19

Anfällige Plugins und Themes sind der Hauptgrund, warum WordPress-Websites gehackt werden. Der wöchentliche WordPress Vulnerability Report powered by WPScan behandelt aktuelle WordPress-Plugins, Themes und Kern-Schwachstellen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Themes auf Ihrer Website ausführen.

Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die verantwortungsvolle Offenlegung und Meldung von Schwachstellen ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community. Bitte teile diesen Beitrag mit deinen Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.

Im Mai, Teil 3 Bericht

    WordPress Core-Schwachstellen

    Diese Woche haben wir eine Sicherheitsversion von WordPress 5.7.2 mit einem Sicherheitsproblem gesehen, das WordPress-Versionen zwischen 3.7 und 5.7 betrifft. Wenn Sie noch nicht auf 5.7 aktualisiert haben, wurden alle WordPress-Versionen seit 3.7 auch aktualisiert, um ein Objektinjektionsproblem im PHPMailer-Sicherheitsproblem zu beheben.

    1. WordPress 5.7.2 Sicherheitsversion

    Sicherheitslücke : Objektinjektion in PHPMailer
    Gepatcht in Version : 5.7.2
    Score Schweregrad: Mittel

    Die Schwachstelle wurde gepatcht, daher sollten Sie noch heute alle Ihre Websites auf WordPress 5.7.2 aktualisieren.

    Schwachstellen im WordPress-Plugin

    1. Fotogalerie

    Plugin: Fotogalerie
    Sicherheitslücke : Authentifiziertes gespeichertes Cross-Site-Scripting über Galerietitel
    Gepatcht in Version : 1.5.67
    Schweregrad : Mittel

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.5.67+ aktualisieren.

    2. Wochenplan

    Plugin: Wochenplan
    Sicherheitslücke : Authentifiziertes gespeichertes Cross-Site-Scripting
    Gepatcht in Version : 3.4.3
    Score Schweregrad: Mittel

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.4.3+ aktualisieren.

    3. Externe Medien

    Plugin: Externe Medien
    Sicherheitslücke : Authentifizierter willkürlicher Datei-Upload
    Gepatcht in Version : 1.0.34
    Severity Score: Kritisch

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.0.34+ aktualisieren.

    4. WP-Super-Cache

    Plugin: WP Super Cache
    Sicherheitslücke : Authentifizierte Remotecodeausführung
    Gepatcht in Version : 1.7.3
    Ergebnis Schweregrad: Hoch

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.7.3+ aktualisieren.

    5. Datenbank-Backup für WordPress

    Plugin: Datenbanksicherung für WordPress
    Sicherheitslücke : Authentifiziertes persistentes Cross-Site-Scripting
    Gepatcht in Version : 2.4
    Score Schweregrad: Mittel

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.4+ aktualisieren.

    Schwachstellen im WordPress-Theme

    1. Mittelmäßig

    Thema: Mittelmäßig
    Sicherheitslücke : Nicht authentifiziertes Reflected Cross-Site Scripting
    In Version gepatcht : Kein Fix bekannt
    Score Schweregrad: Mittel

    Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Theme, bis ein Patch veröffentlicht wird.

    2. Listeo

    Thema: Listeo
    Sicherheitslücke : Mehrere XSS- und XFS-Sicherheitslücken
    Gepatcht in Version : 1.6.11
    Score Schweregrad: Mittel

    Sicherheitslücke : Mehrere authentifizierte IDOR-Sicherheitslücken
    Gepatcht in Version : 1.6.11
    Schweregrad : Mittel

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.6.11+ aktualisieren.

    3. Bello

    Thema: Listeo
    Sicherheitslücke : Authentifiziertes XSS & XFS
    Gepatcht in Version : 1.6.0
    Score Schweregrad: Mittel

    Sicherheitslücke : Nicht authentifiziertes Reflected XSS & XFS
    Gepatcht in Version : 1.6.0
    Schweregrad : Mittel

    Sicherheitslücke : Nicht authentifizierte Blind-SQL-Injection
    Gepatcht in Version : 1.6.0
    SeverityScore : Kritisch

    Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.6.0+ aktualisieren.

    Ein Hinweis zur verantwortungsvollen Offenlegung

    Sie fragen sich vielleicht, warum eine Schwachstelle offengelegt wird, wenn sie Hackern einen Exploit zum Angriff bietet. Nun, es ist sehr üblich, dass ein Sicherheitsforscher die Schwachstelle findet und dem Softwareentwickler privat meldet.

    Bei verantwortungsvoller Offenlegung erfolgt der erste Bericht des Forschers privat an die Entwickler des Unternehmens, dem die Software gehört, jedoch mit der Vereinbarung, dass die vollständigen Details veröffentlicht werden, sobald ein Patch verfügbar ist. Bei erheblichen Sicherheitslücken kann es zu einer leichten Verzögerung bei der Offenlegung der Sicherheitslücke kommen, damit mehr Personen Zeit für das Patchen haben.

    Der Sicherheitsforscher kann dem Softwareentwickler eine Frist setzen, um auf den Bericht zu antworten oder einen Patch bereitzustellen. Wird diese Frist nicht eingehalten, kann der Forscher die Schwachstelle öffentlich offenlegen, um Druck auf den Entwickler auszuüben, einen Patch herauszugeben.

    Die öffentliche Offenlegung einer Sicherheitslücke und die scheinbare Einführung einer Zero-Day-Sicherheitslücke – eine Art von Sicherheitslücke, die keinen Patch hat und in freier Wildbahn ausgenutzt wird – mag kontraproduktiv erscheinen. Dies ist jedoch der einzige Hebel, mit dem ein Forscher den Entwickler unter Druck setzen kann, die Schwachstelle zu schließen.

    Wenn ein Hacker die Schwachstelle entdeckt, könnte er den Exploit stillschweigend nutzen und dem Endbenutzer (das sind Sie) Schaden zufügen, während der Softwareentwickler damit zufrieden ist, die Schwachstelle ungepatcht zu lassen. Googles Project Zero hat ähnliche Richtlinien, wenn es um die Offenlegung von Sicherheitslücken geht. Sie veröffentlichen die vollständigen Details der Schwachstelle nach 90 Tagen, unabhängig davon, ob die Schwachstelle gepatcht wurde oder nicht.

    So schützen Sie Ihre WordPress-Website vor anfälligen Plugins und Themes

    Der Site Scanner des iThemes Security Pro-Plugins ist eine weitere Möglichkeit, Ihre WordPress-Website vor der Hauptursache aller Software-Hacks zu schützen und zu schützen: veraltete Plugins und Themes mit bekannten Schwachstellen. Der Site Scanner überprüft Ihre Site auf bekannte Schwachstellen und wendet automatisch einen Patch an, falls einer verfügbar ist.

    Die 3 geprüften Arten von WordPress-Sicherheitslücken

    1. WordPress-Sicherheitslücken
    2. Plugin-Sicherheitslücken
    3. Thema Schwachstellen

    Um die Site - Scan auf Neuinstallationen, navigieren Sie zu dem iThemes Security Pro Einstellungen zu aktivieren und klicken Sie auf die Schaltfläche Aktivieren auf der Site Scan - Einstellungen Modul.

    Um einen manuellen Site-Scan auszulösen, klicken Sie im Site-Scan-Widget in der rechten Seitenleiste der Sicherheitseinstellungen auf die Schaltfläche Jetzt scannen .

    Die Site-Scan-Ergebnisse werden im Widget angezeigt.

    Wenn der Site Scan eine Schwachstelle erkennt, klicken Sie auf den Link zur Schwachstelle, um die Detailseite anzuzeigen.

    Auf der Seite Site Scan-Schwachstelle sehen Sie, ob ein Fix für die Schwachstelle verfügbar ist. Wenn ein Patch verfügbar ist, können Sie auf die Schaltfläche Update Plugin klicken, um den Fix auf Ihrer Website anzuwenden.

    Es kann eine Verzögerung zwischen der Verfügbarkeit eines Patches und der Aktualisierung der iThemes-Sicherheitslückendatenbank geben, um den Fix widerzuspiegeln. In diesem Fall können Sie die Benachrichtigung stummschalten, um keine weiteren Warnungen im Zusammenhang mit der Sicherheitsanfälligkeit zu erhalten.

    Wichtig: Sie sollten eine Sicherheitslückenbenachrichtigung nicht stummschalten, bis Sie bestätigt haben, dass Ihre aktuelle Version einen Sicherheitsfix enthält oder die Sicherheitsanfälligkeit keine Auswirkungen auf Ihre Site hat.

    iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 50 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzufügen.

    Holen Sie sich iThemes Security Pro

    WordPress-Schwachstellenbericht - Sicherheit