WordPress-Schwachstellenbericht: Dezember 2021, Teil 4

Veröffentlicht: 2022-01-06

Anfällige Plugins und Themes sind der häufigste Grund, warum WordPress-Websites gehackt werden. Der wöchentliche WordPress-Schwachstellenbericht powered by WPScan behandelt aktuelle Schwachstellen in WordPress-Plugins, -Themen und -Kernen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Designs auf Ihrer Website ausführen.

Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die verantwortungsbewusste Offenlegung und Meldung von Schwachstellen ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community. Neu in diesem Bericht: Schwachstellen werden jetzt nach der Anzahl aktiver Installationen und nicht mehr nach dem Datum der Offenlegung aufgelistet.

Bitte teilen Sie diesen Beitrag mit Ihren Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.

Möchten Sie, dass dieser Bericht jede Woche in Ihren Posteingang geliefert wird?
Abonnieren Sie die wöchentliche E-Mail

WordPress-Core-Schwachstellen

Die neueste Version des WordPress-Kerns ist 5.8.2. Als bewährte Methode sollten Sie immer die neueste Version des WordPress-Kerns ausführen!

Sicherheitslücken in WordPress-Plugins

In diesem Abschnitt wurden die neuesten Sicherheitslücken in WordPress-Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die aktiven Installationen, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.

1. All-in-One-SEO

Plugin: All-in-One-SEO
Schwachstelle : Authentifizierte SQL-Injection
Aktive Installation : 3+ Millionen
Gepatcht in Version : 4.1.5.3
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 4.1.5.3 aktualisieren.

Plugin: All-in-One-SEO
Schwachstelle : Authentifizierte Rechteausweitung
Aktive Installation : 3+ Millionen
Gepatcht in Version : 4.1.5.3
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 4.1.5.3 aktualisieren.

2. Smash Balloon Social Post Feed

Plugin: Smash Balloon Social Post Feed
Sicherheitslücke : Authenticated Reflected Cross-Site Scripting (XSS)
Aktive Installation : 200.000+
Gepatcht in Version : 4.1.1
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 4.1.1 updaten.

3. Moderner Veranstaltungskalender Lite

Plugin: Moderner Veranstaltungskalender Lite
Schwachstelle : Abonnent+ Kategorie Führendes zu gespeichertem XSS hinzufügen
Aktive Installation : 100.000+
Gepatcht in Version : 6.2.0
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 6.2.0 aktualisieren.

4. WOOKS

Plugin: WOOCS
Sicherheitslücke : Reflected Cross-Site Scripting
Aktive Installation : 60.000+
Gepatcht in Version : 1.3.7.3
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.3.7.3 aktualisieren.

5. Gestochen scharfer Live-Chat

Plugin: Gestochen scharfer Live-Chat
Schwachstelle : CSRF für Stored Cross-Site Scripting
Aktive Installation : 60.000+
Gepatcht in Version : 0.32
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 0.32 aktualisieren.

6. Ultimative Bild-Hover-Effekte

Plugin: Image Hover Effects Ultimate
Schwachstelle : Nicht authentifiziertes Update für beliebige Optionen
Aktive Installation : 20.000+
Gepatcht in Version : 9.7.0
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 9.7.0 aktualisieren.

7. WP-Buchungssystem – Buchungskalender

Plugin: WP Booking System – Buchungskalender
Sicherheitslücke : Authenticated Reflected Cross-Site Scripting (XSS)
Aktive Installation : 10.000+
Gepatcht in Version : 2.0.15
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.0.15 updaten.

8. Zielseitenersteller

Plugin: Landing Page Builder
Sicherheitslücke : Authenticated Reflected Cross-Site Scripting (XSS)
Aktive Installation : 10.000+
Gepatcht in Version : 1.4.9.6
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.4.9.6 aktualisieren.

9. Tiefenanalyse

Plugin: Fathom Analytics
Schwachstelle : Admin+ Stored Cross-Site Scripting
Aktive Installation : 2000+
Gepatcht in Version : 3.0.5
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.0.5 updaten.

10. Wahrer Ranger

Plug-in: True Ranker
Schwachstelle : Nicht authentifizierter willkürlicher Dateizugriff über Path Traversal
Aktive Installation : 200+
Gepatcht in Version : 2.2.4
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.2.4 updaten.

Schwachstellen im WordPress-Plugin: Plugin geschlossen

In diesem Abschnitt wurden die neuesten WordPress-Plugin-Schwachstellen in geschlossenen Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die Bewertung des Schweregrads und das Datum der Schließung.

11. Kommentar-Engine Pro

Plugin: Comment Engine Pro
Schwachstelle : Editor+ Stored Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Niedrig

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 7. Oktober 2021 geschlossen. Deinstallieren und löschen.

12. .htaccess-Umleitung

Plugin: .htaccess-Weiterleitung
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Hoch

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 3. Dezember 2021 geschlossen. Deinstallieren und löschen.

13. Parsian Bank Gateway für Woocommerce

Plugin: Parsian Bank Gateway für Woocommerce
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Hoch

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 3. Dezember 2021 geschlossen. Deinstallieren und löschen.

14. Echtes WYSIWYG

Plugin: Echtes WYSIWYG
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Hoch

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 3. Dezember 2021 geschlossen. Deinstallieren und löschen.

15. Linklisten-Manager

Plugin: Linklisten-Manager
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Hoch

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 3. Dezember 2021 geschlossen. Deinstallieren und löschen.

16. Einfache Bildergalerie

Plugin: Einfache Bildergalerie
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Hoch

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 3. Dezember 2021 geschlossen. Deinstallieren und löschen.

17. WooCommerce-EnvioPack

Plugin: WooCommerce EnvioPack
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Hoch

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 15. November 2021 geschlossen. Deinstallieren und löschen.

18. Magische Poststimme

Plugin: Magic Post Voice
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Hoch

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 3. Dezember 2021 geschlossen. Deinstallieren und löschen.

19. H5P-CSS-Editor

Plugin: H5P CSS-Editor
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Hoch

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 3. Dezember 2021 geschlossen. Deinstallieren und löschen.

20. duoFAQ

Plugin: duoFAQ
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Hoch

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 3. Dezember 2021 geschlossen. Deinstallieren und löschen.

21. Magische Poststimme

Plugin: Magic Post Voice
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Hoch

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 3. Dezember 2021 geschlossen. Deinstallieren und löschen.

22. WooCommerce myghpay Payment Gateway

Plugin: WooCommerce myghpay Payment Gateway
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Hoch

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 13. Dezember 2021 geschlossen. Deinstallieren und löschen.

Sicherheitslücken in Premium-Plugins

In diesem Abschnitt wurden die neuesten Sicherheitslücken in WordPress-Premium-Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.

23. Die Plus-Addons für Elementor Pro

Plugin: Die Plus-Addons für Elementor – Pro
Schwachstelle : Offenlegung sensibler Daten
Gepatcht in Version : 5.0.7
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 5.0.7 aktualisieren.

Plugin: Die Plus-Addons für Elementor – Pro
Schwachstelle : Nicht authentifizierte SQL-Injection
Gepatcht in Version : 5.0.7
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 5.0.7 aktualisieren.

24. Lets Box

Plugin: Let's Box
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 1.13.3
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.13.3 aktualisieren.

25. Teilen Sie ein Laufwerk

Plugin: Share One Drive
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 1.15.3
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.15.3 aktualisieren.

26. Aus der Schachtel

Plugin: Out of the Box
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 1.20.3
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.20.3 aktualisieren.

27. Verwenden Sie Ihr Laufwerk

Plugin: Verwenden Sie Ihr Laufwerk
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 1.18.3
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.18.3 aktualisieren.

So schützen Sie Ihre WordPress-Website vor anfälligen Plugins und Themes

Wie Sie diesem Bericht entnehmen können, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themen offengelegt. Wir wissen, dass es schwierig sein kann, den Überblick über jede gemeldete Schwachstellenoffenlegung zu behalten, daher macht es das iThemes Security Pro Plugin einfach sicherzustellen, dass auf Ihrer Website kein Theme, Plugin oder keine WordPress-Kernversion mit einer bekannten Schwachstelle ausgeführt wird.

1. Installieren Sie das iThemes Security Pro-Plugin

Das iThemes Security Pro-Plug-in härtet Ihre WordPress-Site gegen die gängigsten Methoden, auf denen Websites gehackt werden. Mit über 30 Möglichkeiten, Ihre Website in einem einfach zu verwendenden Plugin zu sichern.

2. Aktivieren Sie den Site-Scan, um nach bekannten Schwachstellen zu suchen

Die Versionsverwaltungsfunktion in iThemes Security Pro integriert sich in den Site-Scan, um Ihre Site zu schützen. Anfällige Themes, Plugins und WordPress-Kernversionen werden automatisch für Sie aktualisiert.

3. Aktivieren Sie die Dateiänderungserkennung

Der Schlüssel zum schnellen Erkennen einer Sicherheitsverletzung ist die Überwachung von Dateiänderungen auf Ihrer Website. Die Dateiänderungserkennungsfunktion in iThemes Security Pro scannt die Dateien Ihrer Website und benachrichtigt Sie, wenn Änderungen auf Ihrer Website auftreten.

Holen Sie sich iThemes Security Pro mit Website-Sicherheitsüberwachung rund um die Uhr

iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet mehr als 50 Möglichkeiten zum Sichern und Schützen Ihrer Website vor gängigen WordPress-Sicherheitslücken. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website zusätzliche Sicherheitsebenen hinzufügen.

  • Site-Scanner für Plugin- und Theme-Schwachstellen
  • Erkennung von Dateiänderungen
  • Echtzeit-Sicherheits-Dashboard für Websites
  • WordPress-Sicherheitsprotokolle
  • Vertrauenswürdige Geräte
  • reCaptcha
  • Brute-Force-Schutz
  • Privilegieneskalation
  • Kompromittierte Passwörter prüfen und ablehnen

Sparen Sie bis zum 31. Dezember 35 % auf iThemes Security Pro