WordPress-Schwachstellenbericht: September 2021, Teil 5

Anfällige Plugins und Themes sind der Hauptgrund, warum WordPress-Websites gehackt werden. Der wöchentliche WordPress Vulnerability Report powered by WPScan behandelt aktuelle WordPress-Plugins, Themes und Kern-Schwachstellen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Themes auf Ihrer Website ausführen.

Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die verantwortungsvolle Offenlegung und Meldung von Schwachstellen ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community.

Teilen Sie diesen Beitrag als einen der bisher größten WordPress-Schwachstellenberichte mit Ihren Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.

Mehrere WordPress-Kernsicherheitsprobleme wurden aufgedeckt und behoben. WordPress 5.8.1 wurde als Sicherheits- und Wartungsversion veröffentlicht. Als Best Practice sollten Sie immer die neueste Version von WordPress Core ausführen!

In diesem Abschnitt wurden die neuesten Schwachstellen des WordPress-Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.

1. Kommentare – wpDiscuz

Plugin: Kommentare – wpDiscuz
Sicherheitslücke : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 7.3.2
Ergebnis Schweregrad: Niedrig

2. Seitengenerator

Plugin: Seitengenerator
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 1.5.9
Ergebnis Schweregrad: Hoch

3. WordPress zu Hootsuite

Plugin: WordPress zu Hootsuite
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 1.3.9
Ergebnis Schweregrad: Hoch

4. WordPress zu Puffer

Plugin: WordPress zu Puffer
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 3.7.5
Ergebnis Schweregrad: Hoch

5. Gutenberg PDF-Viewer-Block

Plugin: Gutenberg PDF Viewer Block
Sicherheitslücke : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : 1.0.1
Score Schweregrad: Mittel

6. YITH WooCommerce-Produkt-Add-Ons

Plugin: YITH WooCommerce Produkt-Add-Ons
Sicherheitslücke : Authentifizierte lokale Dateieinbindung
Gepatcht in Version : 2.1.0
Score Schweregrad: Mittel

Plugin: YITH WooCommerce Produkt-Add-Ons
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 2.1.0
Ergebnis Schweregrad: Hoch

7. Nach oben

Plugin: Nach oben
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 2.3
Score Schweregrad: Mittel

7. Header-Erweiterung

Plugin: Header-Erweiterung
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 1.5
Score Schweregrad: Mittel

8. Untergeordnetes Thema generieren

Plugin: Child Theme generieren
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 1.6
Score Schweregrad: Mittel

9. Wesentliche Inhaltstypen

Plugin: Wesentliche Inhaltstypen
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 1.9
Score Schweregrad: Mittel

9. Webtools einfangen

Plugin: Catch Web Tools
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 2.7
Score Schweregrad: Mittel

10. Wesentliche Widgets

Plugin: Softwarelizenzmanager
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 1.9
Score Schweregrad: Mittel

11. Fang im Bau

Plugin: Fang im Aufbau
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 1.4
Score Schweregrad: Mittel

12. Catch Themes Demo-Import

Plugin: Demo-Import von Catch Themes
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 1.6
Score Schweregrad: Mittel

13. Sticky Menu fangen

Plugin: Sticky Menu fangen
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 1.7
Score Schweregrad: Mittel

14. Scroll-Fortschrittsbalken einfangen

Plugin: Catch Scroll Fortschrittsbalken
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 1.6
Score Schweregrad: Mittel

15. Soziale Galerie und Widget

Plugin: Social Gallery und Widget
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 2.3
Score Schweregrad: Mittel

16. Fange unendliche Schriftrollen

Plugin: Unendliche Schriftrolle fangen
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 1.9
Score Schweregrad: Mittel

17. Import-Export fangen

Plugin: Catch-Import-Export
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 1.9
Score Schweregrad: Mittel

18. Galerie fangen

Plugin: Catch Gallery
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 1.7
Score Schweregrad: Mittel

19. Duplicate Switcher fangen

Plugin: Catch Duplicate Switcher
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 1.6
Score Schweregrad: Mittel

20. Brotkrumen fangen

Plugin: Brotkrümel fangen
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 1.7
Score Schweregrad: Mittel

21. Fang-IDs

Plugin: IDs fangen
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 2.4
Score Schweregrad: Mittel

22. Tutor LMS

Plugin: Tutor LMS
Sicherheitslücke : Mehrere Admin+ gespeichertes Cross-Site-Scripting
Gepatcht in Version : 1.9.9
Ergebnis Schweregrad: Niedrig

23. WP Import Export Lite

Plugin: WP Import Export Lite
Sicherheitslücke : Update für Abonnenten+-Erweiterungen
Gepatcht in Version : 3.9.5
Score Schweregrad: Mittel

Plugin: WP Import Export Lite
Sicherheitslücke : Update für Abonnenten+ Willkürliche Blog-Optionen
Gepatcht in Version : 3.9.5
Score Schweregrad: Mittel

24. Ein Benutzer-Avatar

Plugin: Ein Benutzer-Avatar
Sicherheitslücke : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : 2.3.7
Score Schweregrad: Mittel

Plugin: Ein Benutzer-Avatar
Sicherheitslücke : Avatar-Update über CSRF
Gepatcht in Version : 2.3.7
Score Schweregrad: Mittel

25. Scroll Baner

Plugin: Scrollbaner
Sicherheitslücke : CSRF zu RCE
In Version gepatcht : kein Fix bekannt
Severity Score: Kritisch

26. WP-Ticket

Plugin: WP-Ticket
Sicherheitslücke : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 5.10.4
Ergebnis Schweregrad: Niedrig

27. GamePress

Plugin: GamePress
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : kein Fix bekannt
Ergebnis Schweregrad: Hoch

28. Wechat-Belohnung

Plugin: Wechat-Belohnung
Sicherheitslücke : CSRF zu gespeichertem Cross-Site-Scripting
In Version gepatcht : kein Fix bekannt
Ergebnis Schweregrad: Hoch

29. Gesellig

Plugin: Gesellig
Sicherheitslücke : Admin+ Stored Cross-Site Scripting
In Version gepatcht : kein Fix bekannt
Ergebnis Schweregrad: Niedrig

30. BetterDocs

Plugin: BetterDocs
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 1.9.2
Ergebnis Schweregrad: Hoch

31. Mehrere WooCommerce Add-Ons – mehrere Plugins

Plugin: Produktfilter für WooCommerce
Sicherheitslücke : Low Priv Willkürliche Blog-Optionen Aktualisieren/Zugriff/Löschen & Plugin-Einstellungen Aktualisieren/Exportieren/Importieren
Gepatcht in Version : 8.2.0
Ergebnis Schweregrad: Hoch

Plugin: Verbesserte-Variable-Produktattribute
Sicherheitslücke : Low Priv Willkürliche Blog-Optionen Aktualisieren/Zugriff/Löschen & Plugin-Einstellungen Aktualisieren/Exportieren/Importieren
Gepatcht in Version : 5.3.0
Ergebnis Schweregrad: Hoch

Plugin: Verbesserte-Sale-Badges
Sicherheitslücke : Low Priv Willkürliche Blog-Optionen Aktualisieren/Zugriff/Löschen & Plugin-Einstellungen Aktualisieren/Exportieren/Importieren
Gepatcht in Version : 4.4.0
Ergebnis Schweregrad: Hoch

Plugin: share-print-pdf-woocommerce
Sicherheitslücke : Low Priv Willkürliche Blog-Optionen Aktualisieren/Zugriff/Löschen & Plugin-Einstellungen Aktualisieren/Exportieren/Importieren
Gepatcht in Version : 2.8.0
Ergebnis Schweregrad: Hoch

Plugin: Produktschleifen
Sicherheitslücke : Low Priv Willkürliche Blog-Optionen Aktualisieren/Zugriff/Löschen & Plugin-Einstellungen Aktualisieren/Exportieren/Importieren
Gepatcht in Version : 1.7.0
Ergebnis Schweregrad: Hoch

Plugin: XforWooCommerce
Sicherheitslücke : Low Priv Willkürliche Blog-Optionen Aktualisieren/Zugriff/Löschen & Plugin-Einstellungen Aktualisieren/Exportieren/Importieren
Gepatcht in Version : 1.7.0
Ergebnis Schweregrad: Hoch

Plugin: Paketmenge-xforwc
Sicherheitslücke : Low Priv Willkürliche Blog-Optionen Aktualisieren/Zugriff/Löschen & Plugin-Einstellungen Aktualisieren/Exportieren/Importieren
Gepatcht in Version : 1.2.0
Ergebnis Schweregrad: Hoch

Plugin: price-commander-xforwc
Sicherheitslücke : Low Priv Willkürliche Blog-Optionen Aktualisieren/Zugriff/Löschen & Plugin-Einstellungen Aktualisieren/Exportieren/Importieren
Gepatcht in Version : 1.3.0
Ergebnis Schweregrad: Hoch

Plugin: Spam-Kontrolle-xforwc
Sicherheitslücke : Low Priv Willkürliche Blog-Optionen Aktualisieren/Zugriff/Löschen & Plugin-Einstellungen Aktualisieren/Exportieren/Importieren
Gepatcht in Version : 1.5.0
Ergebnis Schweregrad: Hoch

Plugin: add-tabs-xforwc
Sicherheitslücke : Low Priv Willkürliche Blog-Optionen Aktualisieren/Zugriff/Löschen & Plugin-Einstellungen Aktualisieren/Exportieren/Importieren
Gepatcht in Version : 1.5.0
Ergebnis Schweregrad: Hoch

32. WP-Cookie-Auswahl

Plugin: WP-Cookie-Auswahl
Sicherheitslücke : CSRF zu gespeichertem Cross-Site-Scripting
In Version gepatcht : kein Fix bekannt
Ergebnis Schweregrad: Hoch

33. Einfacher Twitter-Feed

Plugin: Einfacher Twitter-Feed
Sicherheitslücke : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : 1.2
Score Schweregrad: Mittel

34. HTML5-Audioplayer

Plugin: Html5 Audioplayer
Sicherheitslücke : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : 2.1.3
Score Schweregrad: Mittel

35. Polo-Videogalerie

Plugin: Polo-Videogalerie
Sicherheitslücke : Contributor+ Stored Cross-Site Scripting
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Score Schweregrad: Mittel

36. StreamCast

Plugin: StreamCast
Sicherheitslücke : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : 2.1.1
Score Schweregrad: Mittel

37. PDF-Light-Viewer

Plugin: PDF Light Viewer
Sicherheitslücke : Authentifizierte Befehlsinjektion
Gepatcht in Version : 1.4.12
Ergebnis Schweregrad: Niedrig

38. MainWP-Kinderberichte

Plugin: MainWP Child Reports
Sicherheitslücke : Admin+ SQL Injection
Gepatcht in Version : 2.0.8
Score Schweregrad: Mittel

39. LearnPress

Plugin: LearnPress
Sicherheitslücke : Einstellungsänderung des nicht autorisierten Plugins
Gepatcht in Version : 4.1.3.1
Ergebnis Schweregrad: Niedrig

Plugin: LearnPress
Sicherheitslücke : Mehrere Admin+ gespeichertes Cross-Site-Scripting
Gepatcht in Version : 4.1.3.1
Ergebnis Schweregrad: Niedrig

40. OptinMonster

Plugin: OptinMonster
Sicherheitslücke : Reflected Cross-Site Scripting (XSS)
Gepatcht in Version : 2.6.1
Score Schweregrad: Mittel

41. Frontend-Uploader

Plugin: Frontend-Uploader
Sicherheitslücke : Nicht authentifiziertes gespeichertes Cross-Site-Scripting
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Score Schweregrad: Mittel

42. Erlaube REL= und HTML im Autorenbios

Plugin: REL= und HTML im Autorenbios zulassen – WordPress-Plugin | WordPress.org
Sicherheitslücke : Von Autor+ gespeichertes Cross-Site-Scripting
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Score Schweregrad: Mittel

43. WP HTML Autor Bio

Plugin: WP HTML Author Bio
Sicherheitslücke : Von Autor+ gespeichertes Cross-Site-Scripting
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Score Schweregrad: Mittel

44. jQuery Antwort auf Kommentar

Plugin: jQuery Antwort auf Kommentar
Sicherheitslücke : CSRF zu gespeichertem Cross-Site-Scripting
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Ergebnis Schweregrad: Hoch

45. Videogalerie – Vimeo- und YouTube-Galerie

Plugin: Videogalerie – Vimeo- und YouTube-Galerie
Sicherheitslücke : Admin+ Stored Cross-Site Scripting
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Ergebnis Schweregrad: Niedrig

46. ​​Fordern Sie ein Angebot an

Plugin: Angebot anfordern
Sicherheitslücke : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 2.3.5
Ergebnis Schweregrad: Niedrig

47. St. Tagestipp

Plugin: St Daily Tip
Sicherheitslücke : CSRF zu gespeichertem Cross-Site-Scripting
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Ergebnis Schweregrad: Hoch

48. Erweiterte Suche

Plugin: Erweiterte Suche
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 1.1.3
Score Schweregrad: Mittel

49. WP Mega-Menü

Plugin: WP Mega-Menü
Sicherheitslücke : Abonnent+ willkürlicher Postzugriff
Gepatcht in Version : 1.4.1
Score Schweregrad: Mittel

Plugin: WP Mega-Menü
Sicherheitslücke : Nicht authentifizierter willkürlicher Post-Zugriff
Gepatcht in Version : 1.4.0
Ergebnis Schweregrad: Hoch

50. Cherry-Plugin

Plugin: Cherry-Plugin
Sicherheitslücke : Nicht authentifizierter beliebiger Datei-Upload und -Download
Gepatcht in Version : 1.2.7
Severity Score: Kritisch

51. WP-Jobmanager

Plugin: WP Job Manager – WordPress-Plugin | WordPress.org
Sicherheitslücke : Phar-Deserialisierung
Gepatcht in Version : 1.31.3
Severity Score:

Plugin: WP Job Manager – WordPress-Plugin | WordPress.org
Sicherheitslücke : Nicht authentifizierte Objektinjektion
Gepatcht in Version : 1.29.3
Score Schweregrad: Mittel

Plugin: WP Job Manager – WordPress-Plugin | WordPress.org
Sicherheitslücke : Nicht authentifizierter willkürlicher Datei-Upload
Gepatcht in Version : 1.26.2
Severity Score: Kritisch

Plugin: WP Job Manager – WordPress-Plugin | WordPress.org
Sicherheitslücke : Reflected Cross-Site Scripting (XSS)
Gepatcht in Version : 1.23.8
Ergebnis Schweregrad: Hoch

52. WP Mobiler Detektor

Plugin: WP Mobile Detector
Sicherheitslücke : Nicht authentifizierter willkürlicher Datei-Upload
Gepatcht in Version : 3.6
Severity Score: Kritisch

53. Telefizierung

Plugin: Telefikation
Sicherheitslücke : Open Relay & Server-Side Request Forgery
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Score Schweregrad: Mittel

54. Spielserverstatus

Plugin: Gameserver-Status
Sicherheitslücke : Contributor+ SQL Injection
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Ergebnis Schweregrad: Hoch

Plugin: Gameserver-Status
Sicherheitslücke : Admin+ SQL Injection
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Score Schweregrad: Mittel

Plugin: Gameserver-Status
Sicherheitslücke : Admin+ Stored Cross-Site Scripting
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Ergebnis Schweregrad: Niedrig

55. Responsive WordPress-Slider

Plugin: Responsive WordPress Slider
Sicherheitslücke : Abonnenten+ Gespeichertes Cross-Site-Scripting
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Severity Score: Kritisch

Plugin: Responsive WordPress Slider
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Severity Score: Kritisch

56. Tweets abrufen

Plugin: Tweets abrufen
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Ergebnis Schweregrad: Hoch

57. WooCommerce

Plugin: WooCommerce
Sicherheitslücke : Analytics-Berichtslecks
Gepatcht in Version : 5.7.0
Score Schweregrad: Mittel

58. WooCommerce-Administrator

Plugin: WooCommerce-Admin
Sicherheitslücke : Analytics-Berichtslecks
Gepatcht in Version : 2.6.0
Score Schweregrad: Mittel

59. YT-Spieler

Plugin: YT-Player
Sicherheitslücke : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : 1.4
Score Schweregrad: Mittel

60. Cookie-Bar

Plugin: Cookie-Leiste
Sicherheitslücke : Admin+ Stored Cross-Site Scripting
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Ergebnis Schweregrad: Niedrig

61. WP-Benutzerverwaltung

Plugin: WP-Benutzermanager
Sicherheitslücke : Willkürliches Zurücksetzen des Benutzerpassworts auf Kontokompromittierung
Gepatcht in Version : 2.6.3
Ergebnis Schweregrad: Hoch

62. Einfacher Medien-Download

Plugin: Einfacher Medien-Download
Sicherheitslücke : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : 1.1.7
Score Schweregrad: Mittel

63. Ninja-Formen

Plugin: Ninja-Formulare
Sicherheitslücke : Ungeschützte REST-API zur Offenlegung sensibler Informationen
Gepatcht in Version : 3.5.8
Score Schweregrad: Mittel

Plugin: Ninja-Formulare
Sicherheitslücke : Ungeschützte REST-API zur E-Mail-Injection
Gepatcht in Version : 3.5.8
Score Schweregrad: Mittel

Plugin: Ninja-Formulare
Sicherheitslücke : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 3.5.8.2
Ergebnis Schweregrad: Niedrig

64. 3DDruck Lite

Plugin: 3DPrint Lite
Sicherheitslücke : Nicht authentifizierter willkürlicher Datei-Upload
In Version gepatcht : kein Fix bekannt – Plugin geschlossen
Severity Score: Kritisch

65. iQ Blockland

Plugin: iQ Block Country
Sicherheitslücke : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 1.2.12
Ergebnis Schweregrad: Niedrig

66. Beliebte WordPress-Beiträge

Plugin: WordPress Popular Posts
Sicherheitslücke : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 5.3.4
Ergebnis Schweregrad: Niedrig

67. Benutzerdefiniertes Dashboard und Anmeldeseite

Plugin: Benutzerdefiniertes Dashboard & Anmeldeseite
Sicherheitslücke : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 6.9.2
Ergebnis Schweregrad: Niedrig

68. Fehlerbibliothek

Plugin: Bug-Bibliothek
Sicherheitslücke : Reflektiertes Cross-Site-Scripting
Gepatcht in Version : 2.0.4
Score Schweregrad: Mittel

Sie fragen sich vielleicht, warum eine Schwachstelle offengelegt wird, wenn sie Hackern einen Exploit zum Angriff bietet. Nun, es ist sehr üblich, dass ein Sicherheitsforscher die Schwachstelle findet und dem Softwareentwickler privat meldet.

Bei verantwortungsvoller Offenlegung erfolgt der erste Bericht des Forschers privat an die Entwickler des Unternehmens, dem die Software gehört, jedoch mit der Vereinbarung, dass die vollständigen Details veröffentlicht werden, sobald ein Patch verfügbar ist. Bei erheblichen Sicherheitslücken kann es zu einer leichten Verzögerung bei der Offenlegung der Sicherheitslücke kommen, damit mehr Personen Zeit für das Patchen haben.

Der Sicherheitsforscher kann dem Softwareentwickler eine Frist setzen, um auf den Bericht zu antworten oder einen Patch bereitzustellen. Wird diese Frist nicht eingehalten, kann der Forscher die Schwachstelle öffentlich offenlegen, um Druck auf den Entwickler auszuüben, einen Patch herauszugeben.

Die öffentliche Offenlegung einer Sicherheitslücke und die scheinbare Einführung einer Zero-Day-Sicherheitslücke – eine Art von Sicherheitslücke, die keinen Patch hat und in freier Wildbahn ausgenutzt wird – mag kontraproduktiv erscheinen. Dies ist jedoch der einzige Hebel, mit dem ein Forscher den Entwickler unter Druck setzen kann, die Schwachstelle zu schließen.

Wenn ein Hacker die Schwachstelle entdeckt, könnte er den Exploit stillschweigend nutzen und dem Endbenutzer (das sind Sie) Schaden zufügen, während der Softwareentwickler damit zufrieden ist, die Schwachstelle ungepatcht zu lassen. Googles Project Zero hat ähnliche Richtlinien, wenn es um die Offenlegung von Sicherheitslücken geht. Sie veröffentlichen die vollständigen Details der Schwachstelle nach 90 Tagen, unabhängig davon, ob die Schwachstelle gepatcht wurde oder nicht.

Wie Sie diesem Bericht entnehmen können, werden jede Woche viele neue WordPress-Plugin- und Theme-Schwachstellen offengelegt. Wir wissen, dass es schwierig sein kann, über jede gemeldete Offenlegung von Sicherheitslücken auf dem Laufenden zu bleiben.

1. Schalten Sie den Site-Scanner von iThemes Security Pro ein

Der Site Scanner des iThemes Security Pro-Plugins scannt nach dem Hauptgrund, warum WordPress-Sites gehackt werden: veraltete Plugins und Themes mit bekannten Schwachstellen. Der Site Scanner überprüft Ihre Site auf bekannte Schwachstellen und wendet automatisch einen Patch an, falls einer verfügbar ist.

Um den Site-Scan bei Neuinstallationen zu aktivieren, navigieren Sie im Menü Funktionen im Plugin zur Registerkarte Site-Check und klicken Sie auf den Schalter, um den Site-Scan zu aktivieren.

Um einen manuellen Site-Scan auszulösen, klicken Sie auf die Schaltfläche Jetzt scannen auf der Site-Scan-Sicherheits-Dashboard-Karte.

Wenn der Site Scan eine Schwachstelle erkennt, klicken Sie auf den Link zur Schwachstelle, um die Detailseite anzuzeigen.

Auf der Seite Site Scan-Schwachstelle sehen Sie, ob ein Fix für die Schwachstelle verfügbar ist. Wenn ein Patch verfügbar ist, können Sie auf die Schaltfläche Update Plugin klicken, um den Fix auf Ihrer Website anzuwenden.

2. Aktivieren Sie die Versionsverwaltung, um die Sicherheitslücke automatisch zu aktualisieren

Die Versionsverwaltungsfunktion in iThemes Security Pro integriert sich in den Site Scan, um Ihre Site zu schützen, wenn veraltete Software nicht schnell genug aktualisiert wird. Selbst die stärksten Sicherheitsmaßnahmen schlagen fehl, wenn Sie anfällige Software auf Ihrer Website ausführen. Diese Einstellungen schützen Ihre Site mit Optionen zum automatischen Aktualisieren auf neue Versionen, wenn eine bekannte Sicherheitslücke besteht und ein Patch verfügbar ist.

Navigieren Sie auf der Seite Einstellungen in iThemes Security Pro zum Bildschirm Funktionen. Klicken Sie auf die Registerkarte Site-Check. Verwenden Sie von hier aus den Umschalter, um die Versionsverwaltung zu aktivieren. Mit dem Einstellungswerkzeug können Sie noch mehr Einstellungen konfigurieren, einschließlich der Art und Weise, wie iThemes Security Pro mit Updates für WordPress, Plugins, Designs und zusätzlichem Schutz umgehen soll.

Stellen Sie sicher, dass Sie Automatisches Update auswählen, wenn es eine Schwachstelle behebt, damit iThemes Security Pro automatisch ein Plugin oder Design aktualisiert, wenn es eine Schwachstelle behebt, die vom Site-Scanner gefunden wurde.

3. Erhalten Sie eine E-Mail-Benachrichtigung, wenn iThemes Security Pro eine bekannte Sicherheitslücke auf Ihrer Website findet

Sobald Sie Site Scan Scheduling aktiviert haben, gehen Sie zu den Benachrichtigungscenter- Einstellungen des Plugins. Scrollen Sie auf diesem Bildschirm zum Abschnitt Site-Scan-Ergebnisse .

Klicken Sie auf das Kästchen, um die Benachrichtigungs-E-Mail zu aktivieren, und klicken Sie dann auf die Schaltfläche Einstellungen speichern .

Jetzt erhalten Sie bei geplanten Site-Scans eine E-Mail, wenn iThemes Security Pro bekannte Schwachstellen entdeckt. Die E-Mail sieht ungefähr so ​​​​aus.

Holen Sie sich iThemes Security Pro und ruhen Sie sich heute Abend ein bisschen leichter aus

iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 50 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website zusätzliche Sicherheitsebenen hinzufügen.

Holen Sie sich iThemes Security Pro

Michael Moore

Jede Woche erstellt Michael den WordPress-Schwachstellenbericht, um die Sicherheit Ihrer Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein riesiger Nerd und liebt es, alles über Technik zu lernen, alt und neu. Sie können Michael mit seiner Frau und seiner Tochter treffen, lesen oder Musik hören, wenn er nicht arbeitet.