Zusammenfassung der WordPress-Sicherheitslücke: Juni 2020, Teil 1
Veröffentlicht: 2020-08-18In der ersten Junihälfte wurden neue Sicherheitslücken in WordPress-Plugins und Themes bekannt, daher möchten wir Sie auf dem Laufenden halten. In diesem Beitrag behandeln wir die neuesten WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Themes auf Ihrer Website ausführen.
Das WordPress Vulnerability Roundup ist in drei verschiedene Kategorien unterteilt:
- WordPress-Kern
- WordPress-Plugins
- WordPress-Themes
Jede Schwachstelle hat eine Bedrohungsbewertung von Niedrig , Mittel , Hoch oder Kritisch .
WordPress Core-Schwachstellen
1. Update auf WordPress 5.4.2 – Kritisch
Die WordPress-Version 5.4.2 ist jetzt verfügbar. Dies ist eine wichtige Sicherheits- und Wartungsversion. Frühere Versionen sind von mehreren Sicherheitsfehlern betroffen, die in Version 5.4.2 behoben wurden. Wenn Sie noch nicht auf 5.4 aktualisiert haben, gibt es auch aktualisierte Versionen von 5.3 und früher, die die Sicherheitsprobleme beheben.
Sie können WordPress 5.4.2 von WordPress.org herunterladen oder Ihr WP-Admin-Dashboard > Updates besuchen und auf Jetzt aktualisieren klicken. Wenn Sie über Websites verfügen, die automatische Hintergrundaktualisierungen unterstützen, sollten diese bereits aktualisiert worden sein.
Schwachstellen im WordPress-Plugin
In diesem Monat wurden bisher mehrere neue Sicherheitslücken im WordPress-Plugin entdeckt. Befolgen Sie die unten vorgeschlagene Aktion, um das Plugin zu aktualisieren oder vollständig zu deinstallieren.
1. Hochladen mehrerer Dateien per Drag & Drop für Kontaktformular 7 – Kritisch
Drag-and-Drop-Upload mehrerer Dateien für Contact Form 7-Versionen unter 1.3.3.3 weisen eine Schwachstelle zur Umgehung des nicht authentifizierten Datei-Uploads auf.
2. Page Builder: PageLayer – Drag-and-Drop-Website-Builder – Hoch
Page Builder: PageLayer – Drag-and-Drop-Website-Builder-Versionen unter 1.1.2 haben einen ungeschützten AJAX, der zu XSS führt, und einen CSRF, der zu XSS-Schwachstellen führt.
3. MapPress-Karten – Kritisch
MapPress Maps-Versionen unter 2.54.6 weisen eine Schwachstelle "Unsachgemäße Fähigkeitsprüfungen in AJAX-Aufrufen" auf.
4. Bild Fotogalerie Final Tiles Grid – Kritisch
Image Photo Gallery Final Tiles Grid-Versionen unter 3.4.19 weisen eine Sicherheitsanfälligkeit bezüglich Authenticated Stored Cross-Site Scripting auf.
5. bbPress – Kritisch
bbPress-Versionen unter 2.6.5 weisen eine Schwachstelle der nicht authentifizierten Rechteausweitung auf, wenn die Registrierung neuer Benutzer aktiviert ist.
6. Multi-Scheduler – Hoch
Alle Versionen von Multi Scheduler haben eine willkürliche Datensatzlöschung via CSRF-Schwachstelle.
7. Jobsuche – Hoch
JobSearch-Versionen unter 1.5.1 weisen eine Schwachstelle für nicht authentifiziertes Reflected Cross-Site Scripting auf.
8. AdRotate – Mittel
AdRotate-Versionen unter 5.8.4 weisen eine Sicherheitsanfälligkeit durch Authenticated SQL Injection auf.
9. Elementor Page Builder – Hoch
Elementor Page Builder-Versionen unter 2.9.10 weisen eine Authenticated Stored XSS-Schwachstelle auf.
10. SportsPress – Hoch
SportsPress-Versionen unter 2.7.2 weisen eine Sicherheitsanfälligkeit für Authenticated Stored Cross-Site Scripting auf.
WordPress-Themes
1. Careerfy – Hoch
Careerfy-Versionen unter 3.9.0 weisen eine Sicherheitslücke durch nicht authentifiziertes Reflected Cross-Site Scripting auf.
2. Zeitung – Hoch
Zeitungsversionen unter 10.3.4 weisen eine Sicherheitsanfälligkeit für Authenticated Reflected Cross-Site Scripting auf.
Neu! Schützen Sie Ihre WordPress-Website mit dem iThemes Security Site Scan.
Wussten Sie, dass 60 % der Website-Verstöße Sicherheitslücken beinhalten, für die ein Patch verfügbar, aber nicht angewendet wurde? Dies bedeutet, dass die Installation von Software mit bekannten Schwachstellen auf Ihrer Website Hackern die Blaupausen gibt, die sie benötigen, um Ihre Website zu übernehmen.
Jeden Tag wird es schwieriger, jede offengelegte WordPress-Sicherheitslücke zu verfolgen . Sie müssen diese Liste mit den Versionen von Plugins und Themes vergleichen, die Sie auf Ihrer Site installiert haben… und sicherstellen, dass Sie ständig aktualisieren.
Um dieses Problem zu lösen, freuen wir uns, Ihnen heute mitteilen zu können, dass das iThemes Security Pro-Plugin eine bessere Möglichkeit bietet , Ihre Websites vor Softwareschwachstellen zu schützen , den Hauptschuldigen für gehackte und kompromittierte WordPress-Sites.
Der neue, verbesserte WordPress Security Site Scan powered by iThemes führt automatische Überprüfungen auf bekannte Website-Schwachstellen durch und wenn ein Patch verfügbar ist, wird iThemes Security Pro den Fix jetzt automatisch für Sie anwenden… damit Sie dies nicht tun müssen. Wütend. das ist eine gewisse Beruhigung.
Ein WordPress-Sicherheits-Plugin kann helfen, Ihre Website zu schützen
iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 30 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzufügen.
Jede Woche erstellt Michael den WordPress-Schwachstellenbericht, um die Sicherheit Ihrer Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein riesiger Nerd und liebt es, alles über Technik zu lernen, alt und neu. Sie können Michael mit seiner Frau und seiner Tochter treffen, lesen oder Musik hören, wenn er nicht arbeitet.
