Zusammenfassung der WordPress-Sicherheitslücke: Oktober 2020, Teil 2

Veröffentlicht: 2021-03-10

In der zweiten Oktoberhälfte wurden einige neue Schwachstellen im WordPress-Plugin bekannt. In diesem Beitrag behandeln wir die neuesten WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Themes auf Ihrer Website ausführen.

Das WordPress Vulnerability Roundup ist in drei verschiedene Kategorien unterteilt: WordPress-Kern, WordPress-Plugins und WordPress-Themes.

Im Oktober, Teil 2 Bericht

    WordPress Core-Schwachstellen

    WordPress 5.5.2 wurde am 29. Oktober veröffentlicht und enthielt 10 WordPress-Kernsicherheitskorrekturen.

    Hier ist die Liste der Sicherheitsfixes, die im WordPress 5.5.2 Release Post erwähnt wurden.

    • Gehärtete Deserialisierungsanforderungen.
    • Fix zum Deaktivieren von Spam-Einbettungen von deaktivierten Sites in einem Multisite-Netzwerk .
    • Es wurde ein Sicherheitsproblem behoben, das zu einem XSS von globalen Variablen führen konnte.
    • Ein Problem mit der Rechteeskalation in XML-RPC wurde behoben.
    • Es wurde ein Problem mit der Rechteeskalation beim Kommentieren von Beiträgen über XML-RPC behoben.
    • Es wurde ein Sicherheitsproblem behoben, bei dem ein DoS-Angriff zu RCE führen konnte.
    • Eine Methode zum Speichern von XSS in Post-Slugs wurde entfernt.
    • Methode entfernt, um geschützte Meta zu umgehen, die zu willkürlichem Löschen von Dateien führen könnte.
    • Eine Methode entfernt, die zu CSRF führen könnte.
    Die Schwachstellen wurden gepatcht, also aktualisieren Sie WordPress auf Version 5.5.2.

    Schwachstellen im WordPress-Plugin

    1. Live-Chat – Live-Support

    Live-Chat – Live-Support-Versionen unter 3.2.0 weisen eine Cross-Site Request Forgery-Schwachstelle auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 3.2.0 aktualisieren.

    2. Schneller Chat

    Alle Versionen von Quick Chat weisen eine Schwachstelle für nicht authentifiziertes gespeichertes Cross-Site-Scripting auf.

    Entfernen Sie das Plugin, bis ein Sicherheitsfix veröffentlicht wird.

    3. Child Theme Creator von Orbisius

    Child Theme Creator von Orbisius-Versionen unter 1.5.2 weisen eine CSRF-Sicherheitslücke bezüglich willkürlicher Dateimodifikation/-erstellung auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 1.5.2 aktualisieren.

    4. Realien

    Alle Versionen von Realia haben eine nicht authentifizierte IDOR, die zu einer Sicherheitslücke durch willkürliche Löschung nach dem Löschen führt.

    Entfernen Sie das Plugin, bis ein Sicherheitsfix veröffentlicht wird.

    5. Kommentar drücken

    Kommentar Presseversionen unter 2.7.2 weisen eine Schwachstelle bei nicht authentifiziertem Cross-Frame Scripting auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 2.7.2 aktualisieren.

    6. Super Store Finder für WordPress

    Super Store Finder für WordPress-Versionen unter 6.2 weist eine Schwachstelle beim Hochladen von nicht authentifizierten willkürlichen Dateien auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 6.2 aktualisieren.

    7. Super interaktive Karten für WordPress

    Super Interactive Maps für WordPress-Versionen unter 2.0 haben eine Schwachstelle beim nicht authentifizierten, willkürlichen Datei-Upload.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 2.0 aktualisieren.

    8. Super Logos Showcase für WordPress

    Super Logos Showcase für WordPress-Versionen unter 2.3 weist eine Schwachstelle beim Hochladen von nicht authentifizierten willkürlichen Dateien auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 2.3 aktualisieren.

    9. Einfacher Download-Monitor

    Simple Download Monitor-Versionen unter 3.8.9 weisen eine nicht authentifizierte Cross-Site-Scripting- und eine SQL-Injection-Schwachstelle auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 3.8.9 aktualisieren.

    10. Login-Tool

    Loginizer-Versionen unter 1.6.4 weisen eine Unauthenticated SQL Injection-Schwachstelle auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 1.6.4 aktualisieren.

    11. Helios Solutions Markenlogo-Slider

    Alle Versionen des Helios Solutions Brand Logo Slider weisen eine Sicherheitsanfälligkeit für den authentifizierten, willkürlichen Datei-Upload auf.

    Entfernen Sie das Plugin, bis ein Sicherheitsfix veröffentlicht wird.

    12. CM-Download-Manager

    CM Download Manager-Versionen unter 2.8.0 weisen eine Sicherheitsanfälligkeit bezüglich Authenticated Cross-Site Scripting auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 2.8.0 aktualisieren.

    13. Vorausbuchungskalender

    Versionen des erweiterten Buchungskalenders unter 1.6.2 weisen eine Sicherheitsanfälligkeit durch nicht authentifizierte SQL-Injection auf.

    Die Schwachstelle ist gepatcht und Sie sollten auf Version 1.6.2 aktualisieren.

    Schwachstellen im WordPress-Theme

    In der zweiten Oktoberhälfte wurden keine Schwachstellen im WordPress-Theme gemeldet.

    Sicherheitstipp für Oktober: Warum Sie die Sicherheitsaktivitäten der Website protokollieren sollten

    Die Sicherheitsprotokollierung sollte ein wesentlicher Bestandteil Ihrer WordPress-Sicherheitsstrategie sein. Wieso den?

    Eine unzureichende Protokollierung und Überwachung kann zu einer Verzögerung bei der Erkennung einer Sicherheitsverletzung führen. Die meisten Studien zu Sicherheitsverletzungen zeigen, dass die Zeit zur Erkennung einer Sicherheitsverletzung über 200 Tage beträgt!

    Diese Zeitspanne ermöglicht es einem Angreifer, in andere Systeme einzudringen, weitere Daten zu modifizieren, zu stehlen oder zu zerstören. Aus diesem Grund landete „unzureichende Protokollierung“ in den OWASP Top 10 der Sicherheitsrisiken für Webanwendungen.

    WordPress-Sicherheitsprotokolle haben mehrere Vorteile in Ihrer gesamten Sicherheitsstrategie und helfen Ihnen:

    1. Identifizieren und böswilliges Verhalten stoppen.
    2. Erkennen Sie Aktivitäten, die Sie auf eine Sicherheitsverletzung aufmerksam machen können.
    3. Bewerten Sie, wie viel Schaden angerichtet wurde.
    4. Hilfe bei der Reparatur einer gehackten Site.

    Wenn Ihre Website gehackt wird, möchten Sie die besten Informationen haben, um eine schnelle Untersuchung und Wiederherstellung zu unterstützen.

    Die gute Nachricht ist, dass iThemes Security Pro Ihnen bei der Implementierung der Website-Protokollierung helfen kann. Die WordPress-Sicherheitsprotokolle von iThemes Security Pro verfolgen alle diese Website-Aktivitäten für Sie:

    • WordPress Brute-Force-Angriffe
    • Dateiänderungen
    • Malware-Scans
    • Benutzeraktivität

    Statistiken aus Ihren Protokollen werden dann in einem Echtzeit-WordPress-Sicherheits-Dashboard angezeigt, das Sie in Ihrem WordPress-Admin-Dashboard anzeigen können.

    Sehen Sie sich diesen Feature-Spotlight-Beitrag an, in dem wir alle Schritte zum Hinzufügen von WordPress-Sicherheitsprotokollen zu Ihrer Website mit iThemes Security Pro entpacken.

    Sehen, wie es funktioniert

    Ein WordPress-Sicherheits-Plugin kann helfen, Ihre Website zu schützen

    iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 50 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzufügen.

    Holen Sie sich iThemes Security Pro