WordPress-Schwachstellenbericht: September 2021, Teil 3

Anfällige Plugins und Themes sind der Hauptgrund, warum WordPress-Websites gehackt werden. Der wöchentliche WordPress Vulnerability Report powered by WPScan behandelt aktuelle WordPress-Plugins, Themes und Kern-Schwachstellen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Themes auf Ihrer Website ausführen.

Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die verantwortungsvolle Offenlegung und Meldung von Schwachstellen ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community.

Teilen Sie diesen Beitrag als einen der bisher größten WordPress-Schwachstellenberichte mit Ihren Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.

WordPress Core-Schwachstellen

Mehrere WordPress-Kernsicherheitsprobleme wurden aufgedeckt und behoben. WordPress 5.8.1 wurde als Sicherheits- und Wartungsversion veröffentlicht. Als Best Practice sollten Sie immer die neueste Version von WordPress Core ausführen!

1. WordPress 5.4 bis 5.8

Sicherheitslücke : Datenexponierung über REST API
Gepatcht in Version : 5.8.1
Score Schweregrad: Mittel

Sicherheitslücke : Authentifiziertes XSS im Block-Editor
Gepatcht in Version : 5.8.1
Score Schweregrad: Mittel

Sicherheitslücke : Update der Lodash-Bibliothek
Gepatcht in Version : 5.8.1
Score Schweregrad: Mittel

Schwachstellen im WordPress-Plugin

In diesem Abschnitt wurden die neuesten Schwachstellen des WordPress-Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.

1. Pinterest-Automatik

Plugin: Pinterest Automatisch
Sicherheitslücke : Update für nicht authentifizierte beliebige Optionen
Gepatcht in Version : 4.14.4
Severity Score: Kritisch

2. WordPress-Automatik

Plugin: WordPress Automatisch
Sicherheitslücke : Update für nicht authentifizierte willkürliche Optionen
Gepatcht in Version : 3.53.3
Severity Score: Kritisch

3. ELEX WooCommerce Google Shopping

Plugin: ELEX WooCommerce Google Shopping
Sicherheitslücke : Reflected Cross-Site Scripting (XSS)
Gepatcht in Version : 1.2.4
Ergebnis Schweregrad: Hoch

4. Benutzerregistrierung

Plugin: Benutzerregistrierung
Sicherheitslücke : Gespeichertes Cross-Site-Scripting mit geringen Berechtigungen
Gepatcht in Version : 2.0.2
Score Schweregrad: Mittel

5. uAuflistung

Plugin: uListing
Sicherheitslücke : Willkürliches Update der Blog-Option über CSRF
Gepatcht in Version : 2.0.9
Ergebnis Schweregrad: Hoch

6. Terminbuchungen

Plugin: Terminbuchungen
Sicherheitslücke : Authentifiziertes gespeichertes Cross-Site-Scripting
Gepatcht in Version : 1.3.16
Ergebnis Schweregrad: Niedrig

Plugin: Terminbuchungen
Sicherheitslücke : Authentifiziertes gespeichertes XSS
Gepatcht in Version : 1.3.17
Ergebnis Schweregrad: Niedrig

7. BenutzerWP

Plugin: BenutzerWP
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 1.2.2.29
Score Schweregrad: Mittel

8. Redaktionskalender von PublishPress

Plugin: PublishPress Redaktionskalender
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 3.5.1
Ergebnis Schweregrad: Hoch

9. Besseres Suchen und Ersetzen

Plugin: Besseres Suchen und Ersetzen
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 1.2.9
Ergebnis Schweregrad: Hoch

10. CM-Tooltip-Glossar

Plugin: CM-Tooltip-Glossar
Sicherheitslücke : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : 3.9.21
Score Schweregrad: Mittel

11. Bitcoin / AltCoin Payment Gateway für WooCommerce

Plugin: Bitcoin / AltCoin Payment Gateway für WooCommerce
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 1.6.1
Ergebnis Schweregrad: Hoch

12. Moderner Veranstaltungskalender Lite

Plugin: Moderner Veranstaltungskalender Lite
Sicherheitslücke : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 5.22.2
Ergebnis Schweregrad: Niedrig

13. Mein Chatbot

Thema: Mein Chatbot
Sicherheitslücke : Reflected Cross-Site Scripting (XSS)
In Version gepatcht : Kein Fix bekannt
Ergebnis Schweregrad: Hoch

14. Doppelte Seite

Plugin: Seite duplizieren
Sicherheitslücke : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 4.4.3
Score Schweregrad: Mittel

15. Wettereffekt

Plugin: Wettereffekt
Sicherheitslücke : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 1.3.6
Ergebnis Schweregrad: Niedrig

Plugin: Wettereffekt
Sicherheitslücke : CSRF zu gespeichertem Cross-Site-Scripting
Gepatcht in Version : 1.3.4
Ergebnis Schweregrad: Hoch

16. Verkettetes Quiz

Plugin: Verkettetes Quiz
Sicherheitslücke : Authentifiziertes Stored Cross Site Scripting
Gepatcht in Version : 1.2.7.2
Ergebnis Schweregrad: Niedrig

17. WP Academic People List

Plugin : WP Academic People List
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

18. Konnichiwa! Mitgliedschaft

Plugin : Konnichiwa! Mitgliedschaft
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

19. 3D-Cover-Karussell

Plugin : 3D-Cover-Karussell
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

20. Mehr von Google

Plugin : Mehr von Google
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

21. simpleSAMLphp-Authentifizierung

Plugin : simpleSAMLphp-Authentifizierung
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

22. Benutzerdefiniertes Menü-Plugin

Plugin : Benutzerdefiniertes Menü-Plugin
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

23. Twitter-Freunde-Widget

Plugin : Twitter-Freunde-Widget
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

24. RentPress

Plugin : RentPress
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

25. SP-Mietmanager

Plugin : SP Rental Manager
Sicherheitslücke : Nicht authentifizierte SQL-Injection
In Version gepatcht : Kein Fix bekannt
Ergebnis Schweregrad: Hoch

26. Benutzeraktivierungs-E-Mail

Plugin : E-Mail zur Benutzeraktivierung
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

27. WP Google Maps

Plugin: WP Google Maps
Sicherheitslücke : Mehrere Admin+ gespeichertes Cross-Site-Scripting
Gepatcht in Version : 8.1.13
Ergebnis Schweregrad: Niedrig

28. GeoVerzeichnis

Plugin: GeoDirectory
Sicherheitslücke : Authentifiziertes (admin+) Stored Cross-Site Scripting (XSS)
Gepatcht in Version : 2.1.1.3
Score Schweregrad: Mittel

29. ÜbersetzenPress

Plugin: TranslatePress
Sicherheitslücke : Authentifiziertes gespeichertes Cross-Site-Scripting
Gepatcht in Version : 2.0.9
Ergebnis Schweregrad: Niedrig

30. Beitragstitelzähler

Plugin : Beitragstitelzähler
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

31. YouTube-Video-Inserter

Plugin : YouTube Video Inserter
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

32. Hinweise

Plugin : Hinweise
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

33. DJ E-MailVeröffentlichen

Plugin : DJ EmailPublish
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

34. Noch ein bol.com-Plugin

Plugin : Noch ein bol.com Plugin
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

35. WP-T-Wap

Plugin : WP-T-Wap
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

36. On-Page-SEO + Whatsapp-Chat-Schaltfläche

Plugin : On-Page-SEO + Whatsapp-Chat-Schaltfläche
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

37. WP-Skripte

Plugin : WP-Skripte
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

38. WP Design Karten & Orte

Plugin : WP Design Maps & Places
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

39. Formulare zur Erfassung des Weisen Agenten

Plugin : Wise Agent Capture Forms
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

40. Kommentare bearbeiten XT

Plugin : Kommentare bearbeiten XT
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

41. RSVPMaker Excel

Plugin : RSVPMaker Excel
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

42. Grenzladeleiste

Plugin : Border Loading Bar
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

43. Einfache verfilzte Miniaturansichten

Plugin : Einfache verfilzte Miniaturansichten
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

44. WordPress Simple Shop

Plugin : WordPress Simple Shop
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

45. WooCommerce Payment Gateway pro Kategorie

Plugin : WooCommerce Payment Gateway pro Kategorie
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

46. ​​Benutzerdefinierte Website-Daten

Plugin : Benutzerdefinierte Website-Daten
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

47. Erweiterte Suche

Plugin : Erweiterte Suche
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

48. Integration von Moneybird für WooCommerce

Plugin : Integration von Moneybird für WooCommerce
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

49. Spinnenanalyse

Plugin : Spideranalyse
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

50. OSD-Abonnement

Plugin : OSD-Abonnieren
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

51. Feedify Web-Push-Benachrichtigungen

Plugin : Feedify Web-Push-Benachrichtigungen
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

52. Dropdown und scrollbarer Text

Plugin : Dropdown und scrollbarer Text
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

53. GNU-Mailman-Integration

Plugin : GNU-Mailman-Integration
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

54. Fehlerbibliothek

Plugin : Bug-Bibliothek
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

55. SMS-OVH

Plugin : SMS OVH
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

56. MoolaMojo

Plugin : MoolaMojo
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

57. WordPress InviteBox-Plugin

Plugin : WordPress InviteBox-Plugin
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : Kein Fix bekannt
Score Schweregrad: Mittel

58. wp-Veröffentlichungen

Plugin : wp-publikationen
Sicherheitslücke : Einbindung lokaler Dateien
In Version gepatcht : Kein Fix bekannt
Ergebnis Schweregrad: Hoch

59. Fahrplan und Veranstaltungskalender von MotoPress

Plugin: Fahrplan und Veranstaltungskalender von MotoPress
Sicherheitslücke : Von Autor+ gespeichertes Cross-Site-Scripting
Gepatcht in Version : 2.3.19
Score Schweregrad: Mittel

60. Kommentarlink entfernen und andere Kommentartools

Plugin: Kommentarlink entfernen und andere Kommentartools
Sicherheitslücke : Willkürliches Löschen von Kommentaren über CSRF
Gepatcht in Version : 2.1.6
Score Schweregrad: Mittel

61. WP Einfacher Buchungskalender

Plugin: WP Einfacher Buchungskalender
Sicherheitslücke : Authentifizierte SQL-Injection
Gepatcht in Version : 2.0.6
Score Schweregrad: Mittel

62. Blockieren und stoppen Sie schlechte Bots

Plugin: Blockieren und stoppen Sie schlechte Bots
Sicherheitslücke : Authentifizierte SQL-Injections
Gepatcht in Version : 6.60
Score Schweregrad: Mittel

63. Kostenpflichtige Mitgliedsabonnements

Plugin: Kostenpflichtige Mitgliedsabonnements
Sicherheitslücke : Authentifizierte SQL-Injection
Gepatcht in Version : 2.4.2
Score Schweregrad: Mittel

64. Einfaches Akkordeon

Plugin: Einfaches Akkordeon
Sicherheitslücke : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 2.0.22
Ergebnis Schweregrad: Niedrig

Schwachstellen im WordPress-Theme

1. Entfalten

Thema: Entfalten
Sicherheitslücke : Reflected Cross-Site Scripting (XSS)
Gepatcht in Version : 4.8.4
Score Schweregrad: Mittel

Ein Hinweis zur verantwortungsvollen Offenlegung

Sie fragen sich vielleicht, warum eine Schwachstelle offengelegt wird, wenn sie Hackern einen Exploit zum Angriff bietet. Nun, es ist sehr üblich, dass ein Sicherheitsforscher die Schwachstelle findet und dem Softwareentwickler privat meldet.

Bei verantwortungsvoller Offenlegung erfolgt der erste Bericht des Forschers privat an die Entwickler des Unternehmens, dem die Software gehört, jedoch mit der Vereinbarung, dass die vollständigen Details veröffentlicht werden, sobald ein Patch verfügbar ist. Bei erheblichen Sicherheitslücken kann es zu einer leichten Verzögerung bei der Offenlegung der Sicherheitslücke kommen, damit mehr Personen Zeit für das Patchen haben.

Der Sicherheitsforscher kann dem Softwareentwickler eine Frist setzen, um auf den Bericht zu antworten oder einen Patch bereitzustellen. Wird diese Frist nicht eingehalten, kann der Forscher die Schwachstelle öffentlich offenlegen, um Druck auf den Entwickler auszuüben, einen Patch herauszugeben.

Die öffentliche Offenlegung einer Sicherheitslücke und die scheinbare Einführung einer Zero-Day-Sicherheitslücke – eine Art von Sicherheitslücke, die keinen Patch hat und in freier Wildbahn ausgenutzt wird – mag kontraproduktiv erscheinen. Dies ist jedoch der einzige Hebel, mit dem ein Forscher den Entwickler unter Druck setzen kann, die Schwachstelle zu schließen.

Wenn ein Hacker die Schwachstelle entdeckt, könnte er den Exploit stillschweigend nutzen und dem Endbenutzer (das sind Sie) Schaden zufügen, während der Softwareentwickler damit zufrieden ist, die Schwachstelle ungepatcht zu lassen. Googles Project Zero hat ähnliche Richtlinien, wenn es um die Offenlegung von Sicherheitslücken geht. Sie veröffentlichen die vollständigen Details der Schwachstelle nach 90 Tagen, unabhängig davon, ob die Schwachstelle gepatcht wurde oder nicht.

So schützen Sie Ihre WordPress-Website vor anfälligen Plugins und Themes

Wie Sie diesem Bericht entnehmen können, werden jede Woche viele neue WordPress-Plugin- und Theme-Schwachstellen offengelegt. Wir wissen, dass es schwierig sein kann, über jede gemeldete Offenlegung von Sicherheitslücken auf dem Laufenden zu bleiben.

1. Schalten Sie den Site-Scanner von iThemes Security Pro ein

Der Site Scanner des iThemes Security Pro-Plugins scannt nach dem Hauptgrund, warum WordPress-Sites gehackt werden: veraltete Plugins und Themes mit bekannten Schwachstellen. Der Site Scanner überprüft Ihre Site auf bekannte Schwachstellen und wendet automatisch einen Patch an, falls einer verfügbar ist.

Um den Site-Scan bei Neuinstallationen zu aktivieren, navigieren Sie im Menü Funktionen im Plugin zur Registerkarte Site-Check und klicken Sie auf den Schalter, um den Site-Scan zu aktivieren.

Um einen manuellen Site-Scan auszulösen, klicken Sie auf die Schaltfläche Jetzt scannen auf der Site-Scan-Sicherheits-Dashboard-Karte.

Wenn der Site Scan eine Schwachstelle erkennt, klicken Sie auf den Link zur Schwachstelle, um die Detailseite anzuzeigen.

Auf der Seite Site Scan-Schwachstelle sehen Sie, ob ein Fix für die Schwachstelle verfügbar ist. Wenn ein Patch verfügbar ist, können Sie auf die Schaltfläche Update Plugin klicken, um den Fix auf Ihrer Website anzuwenden.

2. Aktivieren Sie die Versionsverwaltung, um die Sicherheitslücke automatisch zu aktualisieren

Die Versionsverwaltungsfunktion in iThemes Security Pro integriert sich in den Site Scan, um Ihre Site zu schützen, wenn veraltete Software nicht schnell genug aktualisiert wird. Selbst die stärksten Sicherheitsmaßnahmen schlagen fehl, wenn Sie anfällige Software auf Ihrer Website ausführen. Diese Einstellungen schützen Ihre Site mit Optionen zum automatischen Aktualisieren auf neue Versionen, wenn eine bekannte Sicherheitslücke besteht und ein Patch verfügbar ist.

Navigieren Sie auf der Seite Einstellungen in iThemes Security Pro zum Bildschirm Funktionen. Klicken Sie auf die Registerkarte Site-Check. Verwenden Sie von hier aus den Umschalter, um die Versionsverwaltung zu aktivieren. Mit dem Einstellungswerkzeug können Sie noch mehr Einstellungen konfigurieren, einschließlich der Art und Weise, wie iThemes Security Pro mit Updates für WordPress, Plugins, Designs und zusätzlichem Schutz umgehen soll.

Stellen Sie sicher, dass Sie Automatisches Update auswählen, wenn es eine Schwachstelle behebt, damit iThemes Security Pro automatisch ein Plugin oder Design aktualisiert, wenn es eine Schwachstelle behebt, die vom Site-Scanner gefunden wurde.

3. Erhalten Sie eine E-Mail-Benachrichtigung, wenn iThemes Security Pro eine bekannte Sicherheitslücke auf Ihrer Website findet

Sobald Sie Site Scan Scheduling aktiviert haben, gehen Sie zu den Benachrichtigungscenter- Einstellungen des Plugins. Scrollen Sie auf diesem Bildschirm zum Abschnitt Site-Scan-Ergebnisse .

Klicken Sie auf das Kästchen, um die Benachrichtigungs-E-Mail zu aktivieren, und klicken Sie dann auf die Schaltfläche Einstellungen speichern .

Jetzt erhalten Sie bei geplanten Site-Scans eine E-Mail, wenn iThemes Security Pro bekannte Schwachstellen entdeckt. Die E-Mail sieht ungefähr so ​​​​aus.

Holen Sie sich iThemes Security Pro und ruhen Sie sich heute Abend ein bisschen leichter aus

iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 50 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website zusätzliche Sicherheitsebenen hinzufügen.

Holen Sie sich iThemes Security Pro

Michael Moore

Jede Woche erstellt Michael den WordPress-Schwachstellenbericht, um die Sicherheit Ihrer Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein riesiger Nerd und liebt es, alles über Technik zu lernen, alt und neu. Sie können Michael mit seiner Frau und seiner Tochter treffen, lesen oder Musik hören, wenn er nicht arbeitet.