WordPress-Schwachstellenbericht: Dezember 2021, Teil 5

Veröffentlicht: 2021-12-29

Anfällige Plugins und Themes sind der häufigste Grund, warum WordPress-Websites gehackt werden. Der wöchentliche WordPress-Schwachstellenbericht powered by WPScan behandelt aktuelle Schwachstellen in WordPress-Plugins, -Themen und -Kernen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Designs auf Ihrer Website ausführen.

Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die verantwortungsbewusste Offenlegung und Meldung von Schwachstellen ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community. Neu in diesem Bericht: Schwachstellen werden jetzt nach der Anzahl aktiver Installationen und nicht mehr nach dem Datum der Offenlegung aufgelistet.

Bitte teilen Sie diesen Beitrag mit Ihren Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen !

Möchten Sie, dass dieser Bericht jede Woche in Ihren Posteingang geliefert wird?
Abonnieren Sie die wöchentliche E-Mail

WordPress-Core-Schwachstellen

Die neueste Version des WordPress-Kerns ist 5.8.2. Als bewährte Methode sollten Sie immer die neueste Version des WordPress-Kerns ausführen!

Sicherheitslücken in WordPress-Plugins

In diesem Abschnitt wurden die neuesten Sicherheitslücken in WordPress-Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die aktiven Installationen, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.

1. Kontaktformular 7-Datenbank-Addon

Plugin: Contact Form 7 Database Addon
Schwachstelle : Nicht authentifiziertes gespeichertes Cross-Site-Scripting
Aktive Installation : 400.000+
Gepatcht in Version : 1.2.6.2
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.2.6.2 aktualisieren.

Plugin: Contact Form 7 Database Addon
Schwachstelle : Willkürliche Formularlöschung über CSRF
Aktive Installation : 400.000+
Gepatcht in Version : 1.2.6.2
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.2.6.2 aktualisieren.

2. Einfache Formulare für Mailchimp

Plugin: Einfache Formulare für Mailchimp
Sicherheitslücke : Reflected Cross-Site Scripting
Aktive Installation : 100.000+
Gepatcht in Version : 6.8.6
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 6.8.6 updaten.

3. Relevanssi – Eine bessere Suche

Plugin: Relevanssi – Eine bessere Suche
Schwachstelle : Nicht authentifiziertes gespeichertes Cross-Site-Scripting
Aktive Installation : 100.000+
Gepatcht in Version : 4.14.3
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 4.14.3 aktualisieren.

4. Newsletter, SMTP, E-Mail-Marketing und Abonnementformulare von Sendinblue

Plugin: Newsletter, SMTP, E-Mail-Marketing und Abonnementformulare von Sendinblue
Sicherheitslücke : Reflected Cross-Site Scripting
Aktive Installation : 90.000+
Gepatcht in Version : 3.1.25
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.1.25 updaten.

5. Produkt-Feed PRO für WooCommerce

Plugin: Product Feed PRO für WooCommerce
Schwachstelle : Aktualisierung der Abonnenten+-Einstellungen auf gespeichertes XSS
Aktive Installation : 80.000+
Gepatcht in Version : 11.0.7
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 11.0.7 aktualisieren.

6. Pfostenraster

Plugin: Post Grid
Schwachstelle : Contributor+ SQL Injection
Aktive Installation : 60.000+
Gepatcht in Version : 2.1.13
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.1.13 updaten.

7. Kontaktformulareinträge

Plugin: Kontaktformulareinträge
Schwachstelle : Nicht authentifiziertes gespeichertes Cross-Site-Scripting
Aktive Installation : 40.000+
Gepatcht in Version : 1.2.4
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.2.4 updaten.

8. Veranstaltungstickets

Plugin: Veranstaltungstickets
Schwachstelle : Offene Weiterleitung
Aktive Installation : 40.000+
Gepatcht in Version : 5.2.2
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 5.2.2 updaten.

9. Erweiterte benutzerdefinierte Felder: Erweitert

Plugin: Erweiterte benutzerdefinierte Felder: Erweitert
Schwachstelle : Admin+ SQL Injection
Aktive Installation : 40.000+
Gepatcht in Version : 0.8.8.7
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 0.8.8.7 aktualisieren.

10. Akzeptieren Sie Spenden mit PayPal

Plugin: Spenden mit PayPal annehmen
Schwachstelle : Willkürliche Post-Löschung über CSRF
Aktive Installation : 30.000+
Gepatcht in Version : 1.3.4
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.3.4 updaten.

11. ACF-Fotogaleriefeld

Plugin: ACF Photo Gallery Field
Sicherheitslücke : Reflected Cross-Site Scripting
Aktive Installation : 30.000+
Gepatcht in Version : 1.7.5
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.7.5 updaten.

12. Einfacher Download-Monitor

Plugin: Einfacher Download-Monitor
Schwachstelle : Mehrere CSRF
Aktive Installation : 30.000+
Gepatcht in Version : 3.9.11
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.9.11 updaten.

13. WP-Admin schützen

Plugin: Protect WP Admin
Schwachstelle : Nicht authentifizierte Plugin-Deaktivierung
Aktive Installation : 30.000+
Gepatcht in Version : 3.6.2
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.6.2 updaten.

14. Backup und Staging von WP Time Capsule

Plugin: Backup und Staging von WP Time Capsule
Sicherheitslücke : Reflected Cross-Site Scripting
Aktive Installation : 20.000+
Gepatcht in Version : 1.22.7
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.22.7 updaten.

15. Veranstaltungskalender

Plugin: Veranstaltungskalender
Sicherheitslücke : Reflected Cross-Site Scripting
Aktive Installation : 20.000+
Gepatcht in Version : 1.1.51
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.1.51 aktualisieren.

Plugin: Veranstaltungskalender
Schwachstelle : Erstellung von Abonnenten+-Ereignissen
Aktive Installation : 20.000+
Gepatcht in Version : 1.1.51
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.1.51 aktualisieren.

16. Fünf-Sterne-Restaurantreservierungen

Plugin: Fünf-Sterne-Restaurantreservierungen
Schwachstelle : Subscriber+ Stored Cross-Site Scripting
Aktive Installation : 20.000+
Gepatcht in Version : 2.4.8
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.4.8 updaten.

17. Asgaros-Forum

Plugin: Asgaros-Forum
Schwachstelle : Admin+ SQL Injection über forum_id
Aktive Installation : 20.000+
Gepatcht in Version : 1.15.15
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.15.15 aktualisieren.

18. WP125

Plugin: WP125
Schwachstelle : Willkürliche Anzeigenlöschung über CSRF
Aktive Installation : 10.000+
Gepatcht in Version : 1.5.5
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.5.5 updaten.

19. Affiliates-Manager

Plugin: Affiliate-Manager
Schwachstelle : Nicht authentifiziertes gespeichertes Cross-Site-Scripting
Aktive Installation : 10.000+
Gepatcht in Version : 2.9.0
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.9.0 aktualisieren.

20. Intelligentes SEO-Tool

Plugin: Intelligentes SEO-Tool
Sicherheitslücke : Reflected Cross-Site Scripting
Aktive Installation : 9.000+
Gepatcht in Version : 3.0.6
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.0.6 updaten.

21. tarteaucitron.js – Cookie-Gesetzgebung und DSGVO

Plugin: tarteaucitron.js – Cookie-Gesetzgebung & DSGVO
Schwachstelle : CSRF für Stored Cross-Site Scripting
Aktive Installation : 7.000+
Gepatcht in Version : 1.6
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.6 updaten.

Plugin: tarteaucitron.js – Cookie-Gesetzgebung & DSGVO
Schwachstelle : Admin + Stored Cross-Site Scripting
Aktive Installation : 7.000+
Gepatcht in Version : 1.6.1
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.6.1 updaten.

22. SEO-Booster

Plugin: SEO-Booster
Schwachstelle : Admin+ SQL Injection
Aktive Installation : 4.000+
Gepatcht in Version : 3.8
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.8 updaten.

23. Booking.com-Banner-Ersteller

Plugin: Booking.com-Banner-Ersteller
Schwachstelle : Admin+ Stored Cross-Site Scripting
Aktive Installation : 3.000+
Gepatcht in Version : 1.4.3
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.4.3 updaten.

24. Zusätzliche Profilfelder

Plugin: Zusätzliche Profilfelder
Sicherheitslücke : Reflected Cross-Site Scripting
Aktive Installation : 2.000+
Gepatcht in Version : 1.2.4
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.2.4 updaten.

25. Produkthelfer von Booking.com

Plugin: Produkthelfer von Booking.com
Schwachstelle : Admin+ Stored Cross-Site Scripting
Aktive Installation : 2.000+
Gepatcht in Version : 1.0.2
Schweregrad : Niedrig

Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 1.0.2 aktualisieren.

26. SEUR-Beamter

Plug-in: SEUR Official
Schwachstelle : Admin+ Stored Cross-Site Scripting
Aktive Installation : 1.000+
Gepatcht in Version : 1.7.0
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.7.0 aktualisieren.

27. Tabellenintegration

Plugin: Tabellenintegration
Schwachstelle : CSRF-Umgehung
Aktive Installation : 1.000+
Gepatcht in Version : 3.6.0
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.6.0 aktualisieren.

Plugin: Tabellenintegration
Sicherheitslücke : Reflected Cross-Site Scripting
Aktive Installation : 1.000+
Gepatcht in Version : 3.6.0
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.6.0 aktualisieren.

28. ClickBank-Partneranzeigen

Plugin: ClickBank-Affiliate-Anzeigen
Schwachstelle : Admin+ Stored Cross-Site Scripting
Aktive Installation : 700+
Gepatcht in Version : 1.35
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.35 aktualisieren.

Plugin: ClickBank-Affiliate-Anzeigen
Schwachstelle : CSRF für Stored Cross-Site Scripting
Aktive Installation : 700+
Gepatcht in Version : 1.35
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.35 aktualisieren.

29. Stetisch

Plugin: Stetic
Schwachstelle : CSRF für Stored Cross-Site Scripting
Aktive Installation : 300+
Gepatcht in Version : 1.0.9
Schweregrad : Hoch

Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 1.0.9 aktualisieren.

30. Manager für mobile Veranstaltungen

Plugin: Manager für mobile Veranstaltungen
Schwachstelle : Admin+ Stored Cross-Site Scripting
Aktive Installation : 20+
Gepatcht in Version : 1.4.4
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.4.4 updaten.

Schwachstellen im WordPress-Plugin: Keine bekannte Lösung

In diesem Abschnitt wurden die neuesten WordPress-Plugin-Schwachstellen in geschlossenen Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die Bewertung des Schweregrads und das Datum der Schließung.

31. Beliebiger Kommentar

Plugin: AnyComment
Sicherheitslücke : Reflected Cross-Site Scripting
Aktive Installation : 4.000+
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Mittel

Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

Schwachstellen im WordPress-Plugin: Plugin geschlossen

In diesem Abschnitt wurden die neuesten WordPress-Plugin-Schwachstellen in geschlossenen Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die Bewertung des Schweregrads und das Datum der Schließung.

32. Registerkarten

Plugin: Registerkarten
Schwachstelle : Nicht authentifiziertes Update für beliebige Optionen
Gepatcht in Version : 3.6.0 – Plugin geschlossen
Schweregrad : Kritisch

Diese Schwachstelle wurde gepatcht. Dieses Plugin wurde am 20. Dezember 2021 geschlossen. Deinstallieren und löschen.

33. Shortcode-Add-ons

Plugin: Shortcode-Addons
Schwachstelle : Nicht authentifiziertes Update für beliebige Optionen
Gepatcht in Version : 3.1.0 – Plugin geschlossen
Schweregrad : Kritisch

Diese Schwachstelle wurde gepatcht. Dieses Plugin wurde am 20. Dezember 2021 geschlossen. Deinstallieren und löschen.

So schützen Sie Ihre WordPress-Website vor anfälligen Plugins und Themes

Wie Sie dem wöchentlichen WordPress-Schwachstellenbericht entnehmen können, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themen offengelegt. Wir wissen, dass es schwierig sein kann, den Überblick über jede gemeldete Schwachstellenoffenlegung zu behalten, daher macht es das iThemes Security Pro Plugin einfach sicherzustellen, dass auf Ihrer Website kein Theme, Plugin oder keine WordPress-Kernversion mit einer bekannten Schwachstelle ausgeführt wird.

1. Installieren Sie das iThemes Security Pro-Plugin

Das iThemes Security Pro-Plug-in härtet Ihre WordPress-Site gegen die gängigsten Methoden, auf denen Websites gehackt werden. Mit über 30 Möglichkeiten, Ihre Website in einem einfach zu verwendenden Plugin zu sichern.

2. Aktivieren Sie den Site-Scan, um nach bekannten Schwachstellen zu suchen

Die Versionsverwaltungsfunktion in iThemes Security Pro integriert sich in den Site-Scan, um Ihre Site zu schützen. Anfällige Themes, Plugins und WordPress-Kernversionen werden automatisch für Sie aktualisiert.

3. Aktivieren Sie die Dateiänderungserkennung

Der Schlüssel zum schnellen Erkennen einer Sicherheitsverletzung ist die Überwachung von Dateiänderungen auf Ihrer Website. Die Dateiänderungserkennungsfunktion in iThemes Security Pro scannt die Dateien Ihrer Website und benachrichtigt Sie, wenn Änderungen auf Ihrer Website auftreten.

Holen Sie sich iThemes Security Pro mit Site Scanning

iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet mehr als 50 Möglichkeiten zum Sichern und Schützen Ihrer Website vor gängigen WordPress-Sicherheitslücken. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website zusätzliche Sicherheitsebenen hinzufügen.

  • Site-Scanner für Plugin- und Theme-Schwachstellen
  • Erkennung von Dateiänderungen
  • Echtzeit-Sicherheits-Dashboard für Websites
  • WordPress-Sicherheitsprotokolle
  • Vertrauenswürdige Geräte
  • reCaptcha
  • Brute-Force-Schutz
  • Privilegieneskalation
  • Kompromittierte Passwörter prüfen und ablehnen

Sparen Sie bis zum 31. Dezember 35 % auf iThemes Security Pro