Zusammenfassung der WordPress-Sicherheitslücke: April 2020, Teil 1

Veröffentlicht: 2020-08-18

In der ersten Aprilhälfte wurden neue Sicherheitslücken in WordPress-Plugins und Themes bekannt, daher möchten wir Sie auf dem Laufenden halten. In diesem Beitrag behandeln wir die neuesten WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Themes auf Ihrer Website ausführen.

Das WordPress Vulnerability Roundup ist in vier verschiedene Kategorien unterteilt:

  1. WordPress-Kern
  2. WordPress-Plugins
  3. WordPress-Themes

WordPress Core-Schwachstellen

Im Jahr 2020 wurden keine WordPress-Schwachstellen bekannt.

Schwachstellen im WordPress-Plugin

In diesem Monat wurden bisher mehrere neue Sicherheitslücken im WordPress-Plugin entdeckt. Befolgen Sie die unten vorgeschlagene Aktion, um das Plugin zu aktualisieren oder vollständig zu deinstallieren.

1. IMPress für IDX Broker

IMPress für IDX Broker unter Version 2.6.2 hat eine authentifizierte Post Creation, Modification/Deletion und Authenticated Stored Cross-Site Scripting (XSS) über ungeschützte 'idx_update_recaptcha_key'-Schwachstellen.

Die Schwachstellen wurden gepatcht und Sie sollten auf Version 2.6.2 aktualisieren.

2. CM-Pop-Up-Banner für WordPress

CM-Pop-Up-Banner für WordPress-Versionen unter 1.4.11 weisen eine authentifizierte gespeicherte XSS-Schwachstelle auf.

Die Schwachstelle wurde gepatcht und Sie sollten auf Version 1.4.11 aktualisieren.

3. Rang Mathe

Rank Math-Versionen unter 1.0.4.1 weisen eine Redirect Creation- und Privilege Escalation-Schwachstelle auf.

Die Schwachstellen wurden gepatcht und Sie sollten auf Version 1.4.1 aktualisieren.

4. LifterLMS

LifterLMS-Versionen unter 3.37.15 weisen eine Schwachstelle beim Schreiben von willkürlichen Dateien auf.

Die Schwachstelle wurde gepatcht und Sie sollten auf Version 3.37.15 aktualisieren.

5. Elementor Page Builder

Elementor Page Builder-Versionen unter 2.9.6 weisen eine authentifizierte Sicherheitsanfälligkeit durch Rechteeskalation im abgesicherten Modus auf.

Die Schwachstelle wurde gepatcht und Sie sollten auf Version 2.9.6 aktualisieren.

6. LearnDash

LearnDash-Versionen unter 3.1.6 weisen eine Schwachstelle durch nicht authentifizierte SQL-Injection auf.

Die Schwachstelle wurde gepatcht und Sie sollten auf Version 3.1.6 aktualisieren.

7. Anmelden mit Auth0

Anmeldung mit Auth0-Versionen unter 4.0.0 weisen mehrere Sicherheitslücken auf.

Die Schwachstelle wurde gepatcht und Sie sollten auf Version 4.0.0 aktualisieren.

8. WordPress WP-Erweiterte-Suche

WordPress WP-Advanced-Search Versionen unter 3.3.6 haben eine Unauthenticated SQL Injection-Schwachstelle.

Die Schwachstelle wurde gepatcht und Sie sollten auf Version 3.3.6 aktualisieren.

9. Kontaktformular 7 Datepicker

Alle Versionen von Contact Form 7 Datepicker weisen eine Sicherheitsanfälligkeit bezüglich Authenticated Stored Cross-Site Scripting auf.

Entfernen Sie das Plugin, es wurde im WordPress.org-Plugin-Repository geschlossen und wartet auf eine Überprüfung.

10. Kunst-Bilder-Galerie

Alle Versionen von Art-Picture-Gallery weisen eine Schwachstelle im nicht authentifizierten, willkürlichen Datei-Upload auf.

Entfernen Sie das Plugin, es wurde im WordPress.org-Plugin-Repository geschlossen und wartet auf eine Überprüfung.

11. WP-Informationen zur letzten Änderung

WP Last Modified Info Versionen unter 1.6.6 weisen eine Authenticated Stored XSS-Schwachstelle auf.

Die Schwachstelle wurde gepatcht und Sie sollten auf Version 1.6.6 aktualisieren.

12. WP Lead Plus X

Alle Versionen von WP Lead Plus X weisen eine Cross-Site Request Forgery-Schwachstelle auf.

Entfernen Sie das Plugin, bis ein Patch veröffentlicht wird.

13. Ultimative Addons für Gutenberg

Ultimate Addons für Gutenberg-Versionen unter 1.14.8 weisen eine Sicherheitsanfälligkeit für authentifizierte Einstellungsänderung auf.

Die Schwachstelle wurde gepatcht und Sie sollten auf Version 1.14.8 aktualisieren.

14. Klarna Checkout für WooCommerce

Klarna Checkout für WooCommerce-Versionen unter 2.0.10 haben eine authentifizierte, willkürliche Plugin-Deaktivierungs-, Aktivierungs- und Installations-Schwachstelle.

15. Tickera – WordPress Event-Ticketing

Tickera – WordPress Event Ticketing-Versionen unter 3.4.6.9 haben eine Sicherheitslücke durch nicht authentifizierte sensible Daten.

Die Schwachstelle wurde gepatcht und Sie sollten auf Version 3.4.6.9 aktualisieren.

16. Responsive Umfrage

Alle Versionen von Responsive Poll haben bei AJAX-Aufrufen fehlerhafte Authentifizierungs- und fehlende Fähigkeitsprüfungen.

Entfernen Sie das Plugin, es wurde im WordPress.org-Plugin-Repository geschlossen und wartet auf eine Überprüfung.

17. Mediathek-Assistent

Media Library Assistant-Versionen unter 2.82 weisen Sicherheitslücken beim Authentifizierten Stored Cross-Site Scripting und Unauthenticated Limited Local File Inclusion auf.

Die Schwachstelle wurde gepatcht und Sie sollten auf Version 2.82 aktualisieren.

WordPress-Themes

Im April 2020 wurden keine Theme-Sicherheitslücken bekannt gegeben.

So gehen Sie proaktiv bei WordPress-Theme- und Plugin-Schwachstellen vor

Das Ausführen veralteter Software ist der Hauptgrund dafür, dass WordPress-Sites gehackt werden. Es ist entscheidend für die Sicherheit Ihrer WordPress-Site, dass Sie eine Update-Routine haben. Sie sollten sich mindestens einmal pro Woche bei Ihren Websites anmelden, um Aktualisierungen durchzuführen.

Automatische Updates können helfen

Automatische Updates sind eine gute Wahl für WordPress-Websites, die sich nicht sehr oft ändern. Durch mangelnde Aufmerksamkeit werden diese Websites oft vernachlässigt und anfällig für Angriffe. Selbst mit den empfohlenen Sicherheitseinstellungen kann das Ausführen anfälliger Software auf Ihrer Site einem Angreifer einen Einstiegspunkt in Ihre Site bieten.

Mit Hilfe des iThemes Security Pro Plugins Features Versionsverwaltung können Sie die automatische Wordpress - Updates aktivieren , um sicherzustellen , dass Sie den neuesten Sicherheits - Patches zu bekommen. Diese Einstellungen tragen zum Schutz Ihrer Site mit Optionen zum automatischen Aktualisieren auf neue Versionen oder zur Erhöhung der Benutzersicherheit bei veralteter Site-Software bei.

Update-Optionen für die Versionsverwaltung
  • WordPress-Updates – Installieren Sie automatisch die neueste WordPress-Version.
  • Automatische Plugin-Updates – Installieren Sie automatisch die neuesten Plugin-Updates. Dies sollte aktiviert werden, es sei denn, Sie pflegen diese Site täglich aktiv und installieren die Updates kurz nach der Veröffentlichung manuell.
  • Automatische Theme-Updates – Installieren Sie automatisch die neuesten Theme-Updates. Dies sollte aktiviert sein, es sei denn, Ihr Design verfügt über Dateianpassungen.
  • Granulare Kontrolle über Plugin- und Theme-Updates – Möglicherweise haben Sie Plugins/Themes, die Sie entweder manuell aktualisieren oder die Aktualisierung verzögern möchten, bis die Veröffentlichung Zeit hatte, sich als stabil zu erweisen. Sie können Benutzerdefiniert auswählen, um jedem Plugin oder Design die Möglichkeit zu geben, entweder sofort zu aktualisieren ( Aktivieren ), überhaupt nicht automatisch zu aktualisieren ( Deaktivieren ) oder mit einer Verzögerung von einer bestimmten Anzahl von Tagen ( Verzögerung ) zu aktualisieren.
Stärkung und Warnung bei kritischen Problemen
  • Site stärken, wenn veraltete Software ausgeführt wird – Fügen Sie der Site automatisch zusätzlichen Schutz hinzu, wenn ein verfügbares Update einen Monat lang nicht installiert wurde. Das iThemes Security-Plugin aktiviert automatisch strengere Sicherheit, wenn ein Update einen Monat lang nicht installiert wurde. Erstens werden alle Benutzer, bei denen die Zwei-Faktor-Funktion nicht aktiviert ist, gezwungen, einen Anmeldecode anzugeben, der an ihre E-Mail-Adresse gesendet wird, bevor sie sich wieder anmelden. Zweitens wird der WP-Dateieditor deaktiviert (um Personen daran zu hindern, Plugin- oder Themencode zu bearbeiten). , XML-RPC-Pingbacks und blockieren mehrere Authentifizierungsversuche pro XML-RPC-Anfrage (beide machen XML-RPC stärker gegen Angriffe, ohne es vollständig deaktivieren zu müssen).
  • Nach anderen alten WordPress-Sites suchen – Dies wird nach anderen veralteten WordPress-Installationen in Ihrem Hosting-Konto suchen. Eine einzelne veraltete WordPress-Site mit einer Schwachstelle könnte es Angreifern ermöglichen, alle anderen Sites auf demselben Hosting-Konto zu kompromittieren.
  • E-Mail-Benachrichtigungen senden – Bei Problemen, die ein Eingreifen erfordern, wird eine E-Mail an Benutzer auf Administratorebene gesendet.

Mehrere WP-Sites verwalten? Aktualisieren Sie Plugins, Themes und Core auf einmal über das iThemes Sync Dashboard

iThemes Sync ist unser zentrales Dashboard, mit dem Sie mehrere WordPress-Sites verwalten können. Über das Synchronisierungs-Dashboard können Sie verfügbare Updates für alle Ihre Websites anzeigen und dann Plugins, Themes und WordPress-Core mit einem Klick aktualisieren . Sie können auch tägliche E-Mail-Benachrichtigungen erhalten, wenn ein neues Versions-Update verfügbar ist.

Testen Sie Sync 30 Tage lang KOSTENLOSErfahren Sie mehr

Ein WordPress-Sicherheits-Plugin kann helfen, Ihre Website zu schützen

iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 30 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzufügen.

Erfahren Sie mehr über die Sicherheit von WordPress mit 10 wichtigen Tipps. Laden Sie jetzt das E-Book herunter: Ein Leitfaden zur WordPress-Sicherheit
jetzt downloaden