WordPress-Schwachstellenbericht: Dezember 2021, Teil 1

Veröffentlicht: 2021-12-02

Anfällige Plugins und Themes sind der häufigste Grund, warum WordPress-Websites gehackt werden. Der wöchentliche WordPress-Schwachstellenbericht powered by WPScan behandelt aktuelle Schwachstellen in WordPress-Plugins, -Themen und -Kernen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Designs auf Ihrer Website ausführen.

Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die verantwortungsbewusste Offenlegung und Meldung von Schwachstellen ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community.

Bitte teilen Sie diesen Beitrag mit Ihren Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.

Möchten Sie, dass dieser Bericht jede Woche in Ihren Posteingang geliefert wird?
Abonnieren Sie die wöchentliche E-Mail

WordPress-Hosting: GoDaddy gehackt

In einer am 21. November 2021 veröffentlichten Sicherheitsoffenlegung sagt GoDaddy, dass bis zu 1,2 Millionen aktive und inaktive Kunden aufgedeckt wurden, nachdem Hacker Zugriff auf seine verwaltete WordPress-Hosting-Plattform erhalten hatten.

Wir haben einen Beitrag geschrieben, um einige Details des jüngsten GoDaddy-Hacks zu entpacken, wie er sich auf Kunden auswirkt, und unsere Empfehlungen, was zu tun ist, wenn Sie ein WordPress-Hosting-Kunde bei GoDaddy sind.

Lesen Sie den Beitrag

WordPress-Core-Schwachstellen

Die neueste Version des WordPress-Kerns ist 5.8.2. Als bewährte Methode sollten Sie immer die neueste Version des WordPress-Kerns ausführen!

Sicherheitslücken in WordPress-Plugins

In diesem Abschnitt wurden die neuesten Sicherheitslücken in WordPress-Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.

1. Logokarussell

Plugin: Logokarussell
Schwachstelle : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : 3.4.2
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.4.2 updaten.

Plugin: Logokarussell
Schwachstelle : Unbefugter privater Post-Zugriff
Gepatcht in Version : 3.4.2
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.4.2 updaten.

2. Ni WooCommerce Custom Order Status

Plugin: Ni WooCommerce Custom Order Status
Schwachstelle : Subscriber+ SQL Injection
Gepatcht in Version : 1.9.7
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.9.7 aktualisieren.

3. WCFM

Plugin: WCFM
Schwachstelle : Nicht authentifizierte SQL-Injection
Gepatcht in Version : 3.4.12
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.4.12 updaten.

4. Everest-Formulare

Plugin: Everest-Formulare
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 1.8.0
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.8.0 aktualisieren.

5. WP-Besucherstatistik (Echtzeitverkehr)

Plugin: WP-Besucherstatistik (Echtzeitverkehr)
Schwachstelle : Subscriber+ SQL Injection
Gepatcht in Version : 4.8
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 4.8 updaten.

6. Kudos-Spenden

Plugin: Kudos-Spenden
Schwachstelle : Willkürliche Löschung von Elementen über CSRF
Gepatcht in Version : 3.1.2
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.1.2 updaten.

7. Eisgramm

Plugin: Icegram
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 2.0.5
Schweregrad : Mittel

Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 2.0.5 aktualisieren.

8. Blog2Social

Plugin: Blog2Social
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 6.8.7
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 6.8.7 aktualisieren.

9. Bezahlte Mitgliedschaften Pro

Plugin: Bezahlte Mitgliedschaften Pro
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 2.6.6
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.6.6 updaten.

10. WPFront-Benutzerrollen-Editor

Plugin: WPFront-Benutzerrollen-Editor
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 3.2.1.11184
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.2.1.11184 aktualisieren.

11. Ticker

Plugin: Tickera
Schwachstelle : Nicht authentifiziertes gespeichertes Cross-Site-Scripting
Gepatcht in Version : 3.4.8.3
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.4.8.3 aktualisieren.

12. WP-Guppy

Plugin: WP Guppy
Schwachstelle : Offenlegung sensibler Informationen
Gepatcht in Version : 1.3
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.3 aktualisieren.

13. Einfache JWT-Anmeldung

Plugin: Einfache JWT-Anmeldung
Schwachstelle : Unsichere Passworterstellung
Gepatcht in Version : 3.3.0
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.3.0 aktualisieren.

14. meinCRED

Plugin: myCRED
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 1.7.8
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.7.8 updaten.

15. Verstecke mein WP

Plugin: Hide My WP
Schwachstelle : Nicht authentifizierte Plugin-Deaktivierung
Gepatcht in Version : 6.2.4
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 6.2.4 updaten.

Plugin: Hide My WP
Schwachstelle : Nicht authentifizierte SQL-Injection
Gepatcht in Version : 6.2.4
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 6.2.4 updaten.

16. Fantastischer Support – WordPress HelpDesk & Support-Plugin

Plugin: Awesome Support – WordPress HelpDesk & Support-Plugin
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 6.0.7
Schweregrad : Hoch

Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 6.0.7 aktualisieren.

17. Post-Metadaten anzeigen

Plugin: Post-Metadaten anzeigen
Schwachstelle : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : 1.5.0
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.5.0 aktualisieren.

18. Schwebendes Social-Media-Symbol

Plugin: Schwebendes Social-Media-Symbol
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Niedrig

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 27. Oktober 2021 geschlossen. Deinstallieren und löschen.

19. Gwolle-Gästebuch

Plugin: Gwolle-Gästebuch
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 4.2.0
Schweregrad : Mittel

Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 4.2.0 aktualisieren.

So schützen Sie Ihre WordPress-Website vor anfälligen Plugins und Themes

Wie Sie diesem Bericht entnehmen können, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themen offengelegt. Wir wissen, dass es schwierig sein kann, den Überblick über jede gemeldete Schwachstellenoffenlegung zu behalten, daher macht es das iThemes Security Pro Plugin einfach sicherzustellen, dass auf Ihrer Website kein Theme, Plugin oder keine WordPress-Kernversion mit einer bekannten Schwachstelle ausgeführt wird.

1. Installieren Sie das iThemes Security Pro-Plugin

Das iThemes Security Pro-Plug-in härtet Ihre WordPress-Site gegen die gängigsten Methoden, auf denen Websites gehackt werden. Mit über 30 Möglichkeiten, Ihre Website in einem einfach zu verwendenden Plugin zu sichern.

2. Aktivieren Sie den Site-Scan, um nach bekannten Schwachstellen zu suchen

Die Versionsverwaltungsfunktion in iThemes Security Pro integriert sich in den Site-Scan, um Ihre Site zu schützen. Anfällige Themes, Plugins und WordPress-Kernversionen werden automatisch für Sie aktualisiert.

3. Aktivieren Sie die Dateiänderungserkennung

Der Schlüssel zum schnellen Erkennen einer Sicherheitsverletzung ist die Überwachung von Dateiänderungen auf Ihrer Website. Die Dateiänderungserkennungsfunktion in iThemes Security Pro scannt die Dateien Ihrer Website und benachrichtigt Sie, wenn Änderungen auf Ihrer Website auftreten.

Holen Sie sich iThemes Security Pro mit Website-Sicherheitsüberwachung rund um die Uhr

iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet mehr als 50 Möglichkeiten zum Sichern und Schützen Ihrer Website vor gängigen WordPress-Sicherheitslücken. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website zusätzliche Sicherheitsebenen hinzufügen.

  • Site-Scanner für Plugin- und Theme-Schwachstellen
  • Erkennung von Dateiänderungen
  • Echtzeit-Sicherheits-Dashboard für Websites
  • WordPress-Sicherheitsprotokolle
  • Vertrauenswürdige Geräte
  • reCaptcha
  • Brute-Force-Schutz
  • Zwei-Faktor-Authentifizierung
  • Magische Login-Links
  • Privilegieneskalation
  • Kompromittierte Passwörter prüfen und ablehnen

Holen Sie sich iThemes Security Pro