WordPress-Schwachstellenbericht: Januar 2022, Teil 2
Veröffentlicht: 2022-01-12Anfällige Plugins und Themes sind der häufigste Grund, warum WordPress-Websites gehackt werden. Der wöchentliche WordPress-Schwachstellenbericht powered by WPScan behandelt aktuelle Schwachstellen in WordPress-Plugins, -Themen und -Kernen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Designs auf Ihrer Website ausführen.
Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die verantwortungsbewusste Offenlegung und Meldung von Schwachstellen ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community. Neu in diesem Bericht: Schwachstellen werden jetzt nach der Anzahl aktiver Installationen und nicht mehr nach dem Datum der Offenlegung aufgelistet.
Bitte teilen Sie diesen Beitrag mit Ihren Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen !
WordPress-Core-Schwachstellen
Die neueste Version des WordPress-Kerns wurde am 6. Januar 2022 als Kurzzyklus-Sicherheitsversion veröffentlicht. Da WordPress 5.8.3 eine Sicherheitsversion ist, empfehlen wir Ihnen, alle Ihre Websites sofort zu aktualisieren.
Du kannst auf WordPress 5.8.3 aktualisieren, indem du es von WordPress.org herunterlädst oder dein WordPress-Admin-Dashboard > Updates aufrufst und auf Jetzt aktualisieren klickst.
Wenn Sie Websites haben, die automatische Hintergrundaktualisierungen aktiviert haben, sollten diese bereits erfolgreich aktualisiert worden sein.
WordPress-Kern
Schwachstelle : SQL-Injection über WP_Query
Gepatcht in Version : 5.8.3
Erläuterung: Aufgrund des Mangels an angemessener Bereinigung in WP_Meta_Query besteht die Möglichkeit einer blinden SQL-Injektion.
Schwachstelle : Autor+ Gespeichertes XSS über Post Slugs
Gepatcht in Version : 5.8.3
Erläuterung: Authentifizierte Benutzer mit geringen Berechtigungen (wie Autor) im WordPress-Kern können JavaScript ausführen/gespeicherte XSS-Angriffe über Post-Slugs durchführen, was sich auf Benutzer mit hohen Berechtigungen auswirken kann.
Schwachstelle : Super Admin Object Injection in Multisites
Gepatcht in Version : 5.8.3
Erläuterung: Auf einer Multisite können Benutzer mit der Super-Admin-Rolle die explizite/zusätzliche Härtung unter bestimmten Bedingungen durch Objektinjektion umgehen.
Schwachstelle : SQL-Injection über WP_Meta_Query
Gepatcht in Version : 5.8.3
Erläuterung: Aufgrund des Mangels an angemessener Bereinigung in WP_Meta_Query besteht die Möglichkeit einer blinden SQL-Injektion.
Sicherheitslücken in WordPress-Plugins
In diesem Abschnitt wurden die neuesten Sicherheitslücken in WordPress-Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die aktiven Installationen, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.
1. SVG-Unterstützung
Plugin: SVG-Unterstützung
Schwachstelle : Admin+ Stored Cross-Site Scripting
Aktive Installation : 800.000+
Gepatcht in Version : 2.3.20
Schweregrad : Niedrig
2. Bereinigung von Assets
Plugin: Asset CleanUp
Schwachstelle : Reflected Cross-Site Scripting via AJAX Action
Aktive Installation : 100.000+
Gepatcht in Version : 1.3.8.5
Schweregrad : Hoch
Plugin: Asset CleanUp
Sicherheitslücke : Reflected Cross-Site Scripting
Aktive Installation : 100.000+
Gepatcht in Version : 1.3.8.5
Schweregrad : Mittel
3. Bezahlte Mitgliedschaften Pro
Plugin: Bezahlte Mitgliedschaften Pro
Schwachstelle : Nicht authentifizierte blinde SQL-Injektion
Aktive Installation : 100.000+
Gepatcht in Version : 2.6.7
Schweregrad : Kritisch
4. NextScripts: Auto-Poster für soziale Netzwerke
Plugin: NextScripts: Auto-Poster für soziale Netzwerke
Schwachstelle : Willkürliche Post-Löschung über CSRF
Aktive Installation : 90.000+
Gepatcht in Version : 4.3.25
Schweregrad : Mittel
Plugin: NextScripts: Auto-Poster für soziale Netzwerke
Schwachstelle : Nicht authentifiziertes gespeichertes XSS
Aktive Installation : 90.000+
Gepatcht in Version : 4.3.25
Schweregrad : Hoch
5. Elfenbeinsuche
Plugin: Elfenbeinsuche
Schwachstelle : Contributor+ Stored Cross-Site Scripting
Aktive Installation : 80.000+
Gepatcht in Version : 5.4.1
Schweregrad : Hoch
6. Einfacher sozialer Feed
Plugin: Easy Social Feed
Sicherheitslücke : Reflected Cross-Site Scripting (XSS)
Aktive Installation : 70.000+
Gepatcht in Version : 6.2.7
Schweregrad : Hoch
7. Visueller CSS-Stil-Editor
Plugin: Visueller CSS-Stil-Editor
Sicherheitslücke : Reflected Cross-Site Scripting
Aktive Installation : 50.000+
Gepatcht in Version : 7.5.4
Schweregrad : Hoch
8. Kontaktformulareinträge
Plugin: Kontaktformulareinträge
Schwachstelle : Nicht authentifiziertes gespeichertes Cross-Site-Scripting
Aktive Installation : 40.000+
Gepatcht in Version : 1.1.7
Schweregrad : Hoch
9. Erweiterter Cron-Manager
Plugin: Erweiterter Cron-Manager
Schwachstelle : Abonnent+ willkürliche Ereignisse/Zeitpläne erstellen/löschen
Aktive Installation : 30.000+
Gepatcht in Version : 2.4.2
Schweregrad : Mittel
10. WPLegalPages
Plugin: WPLegalPages
Schwachstelle : Aktualisierung willkürlicher Abonnenten-Einstellungen auf gespeichertes XSS
Aktive Installation : 20.000+
Gepatcht in Version : 2.7.1
Schweregrad : Mittel
11. WP-Besucherstatistik (Echtzeitverkehr)
Plugin: WP-Besucherstatistik (Echtzeitverkehr)
Schwachstelle : Subscriber+ SQL Injection
Aktive Installation : 20.000+
Gepatcht in Version : 4.8
Schweregrad : Hoch
12. Böse Ordner
Plugin: Böse Ordner
Schwachstelle : Subscriber+ SQL Injection
Aktive Installation : 10.000+
Gepatcht in Version : 2.8.10
Schweregrad : Hoch
13. SupportCandy
Plugin: SupportCandy
Schwachstelle : Contributor+ Stored Cross-Site Scripting
Aktive Installation : 10.000+
Gepatcht in Version : 2.2.7
Schweregrad : Mittel
Plugin: SupportCandy
Schwachstelle : CSRF für Cross-Site Scripting
Aktive Installation : 10.000+
Gepatcht in Version : 2.2.7
Schweregrad : Mittel
Plugin: SupportCandy
Schwachstelle : Willkürliche Ticketlöschung über CSRF
Aktive Installation : 10.000+
Gepatcht in Version : 2.2.7
Schweregrad : Hoch
Plugin: SupportCandy
Schwachstelle : Nicht authentifizierte willkürliche Ticketlöschung
Aktive Installation : 10.000+
Gepatcht in Version : 2.2.7
Schweregrad : Hoch
Plugin: SupportCandy
Sicherheitslücke : Reflected Cross-Site Scripting
Aktive Installation : 10.000+
Gepatcht in Version : 2.2.7
Schweregrad : Mittel
14. Woocommerce-Produkte neu anordnen
Plugin: Woocommerce-Produkte neu anordnen
Schwachstelle : Subscriber+ SQL Injection
Aktive Installation : 10.000+
Gepatcht in Version : 3.0.8
Schweregrad : Hoch
15. IP2Location-Länderblocker
Plugin: IP2Location Country Blocker
Schwachstelle : Willkürliches Länderverbot über CSRF
Aktive Installation : 10.000+
Gepatcht in Version : 2.26.6
Schweregrad : Mittel
Plugin: IP2Location Country Blocker
Schwachstelle : Abonnent + Willkürliches Länderverbot
Aktive Installation : 10.000+
Gepatcht in Version : 2.26.6
Schweregrad : Mittel
Plugin: IP2Location Country Blocker
Schwachstelle : Ban Bypass
Aktive Installation : 10.000+
Gepatcht in Version : 2.26.6
Schweregrad : Mittel
16. Fantastischer Support – WordPress HelpDesk & Support-Plugin
Plugin: Fantastische Unterstützung – Titan Framework
Sicherheitslücke : Reflected Cross-Site Scripting (XSS)
Aktive Installation : 10.000+
Gepatcht in Version : 6.0.11
Schweregrad : Hoch
17. Ultimativer Produktkatalog
Plugin: Ultimativer Produktkatalog
Schwachstelle : Abonnent + Willkürliche Produkterstellung und Aktualisierung der Einstellungen
Aktive Installation : 10.000
Gepatcht in Version : 5.0.26
Schweregrad : Mittel
18. Dokumenteneinbetter
Plugin: Document Embedder
Schwachstelle : Abonnent + Willkürliche Offenlegung des Titels eines privaten Beitrags/Entwurfs
Aktive Installation : 9.000+
Gepatcht in Version : 1.7.9
Schweregrad : Mittel
Plugin: Document Embedder
Schwachstelle : Nicht authentifizierte, willkürliche Offenlegung des Titels eines privaten Beitrags/Entwurfs
Aktive Installation : 9.000+
Gepatcht in Version : 1.7.9
Schweregrad : Mittel
19. RVM – Responsive Vektorkarten
Plugin: RVM – Responsive Vektorkarten
Schwachstelle : Abonnent+ Willkürliches Lesen von Dateien
Aktive Installation : 6.000+
Gepatcht in Version : 6.4.2
Schweregrad : Hoch
20. Mediamatisch
Plugin: Mediamatic
Schwachstelle : Subscriber+ SQL Injection
Aktive Installation : 3.000+
Gepatcht in Version : 2.8.1
Schweregrad : Hoch
21. Woopra
Plugin: Woopra
Schwachstelle : Nicht authentifizierter willkürlicher Datei-Upload
Aktive Installation : 2.000+
Gepatcht in Version : 1.4.3.2
Schweregrad : Kritisch
22. Benutzerrechte-Zugriffsmanager
Plugin: User Rights Access Manager
Schwachstelle : Umgehung der Zugriffsbeschränkung
Aktive Installation : 900+
Gepatcht in Version : 1.0.8
Schweregrad : Mittel
23. YuMoney-Schaltfläche
Plugin: YuMoney-Button – Titan Framework
Sicherheitslücke : Reflected Cross-Site Scripting (XSS)
Aktive Installation : 900+
Gepatcht in Version : 2.4.0
Schweregrad : Hoch
24. TrustMate.io-Integration für WooCommerce
Plugin: TrustMate.io-Integration für WooCommerce
Schwachstelle : Einstellungsaktualisierung von Subscriber+ Arbitrary Plugin
Aktive Installation : 300+
Gepatcht in Version : 1.8.12
Schweregrad : Hoch
Plugin: TrustMate.io-Integration für WooCommerce
Schwachstelle : Abonnenten+ willkürliche Blog-Optionsaktualisierung
Aktive Installation : 300+
Gepatcht in Version : 1.7.1
Schweregrad : Hoch
25. Wahrer Ranger
Plug-in: True Ranker
Schwachstelle : Nicht authentifizierter willkürlicher Dateizugriff über Path Traversal
Aktive Installation : 300+
Gepatcht in Version : 2.2.4
Schweregrad : Hoch
26. WebHotelier für WordPress
Plugin: WebHotelier für WordPress – Titan Framework
Sicherheitslücke : Reflected Cross-Site Scripting (XSS)
Aktive Installation : 200+
Gepatcht in Version : 1.6.1
Schweregrad : Hoch
Sicherheitslücken in Premium-Plugins
In diesem Abschnitt wurden die neuesten Sicherheitslücken in WordPress-Premium-Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.
27. Erweiterter Cron-Manager Pro
Plugin: Erweiterter Cron Manager Pro
Schwachstelle : Abonnent+ willkürliche Ereignisse/Zeitpläne erstellen/löschen
Gepatcht in Version : 2.5.3
Schweregrad : Mittel
Schwachstellen im WordPress-Plugin: Keine bekannte Lösung
In diesem Abschnitt wurden die neuesten WordPress-Plugin-Schwachstellen in geschlossenen Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die Bewertung des Schweregrads und das Datum der Schließung.
28. Kontaktformular 7 Skins
Plugin: Kontaktformular 7 Skins
Sicherheitslücke : Reflected Cross-Site Scripting (XSS)
Aktive Installation : 30.000+
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Mittel
29. WooRockets Nitro
Plugin: WooRockets Nitro
Schwachstelle : Nicht authentifizierte willkürliche Plugin-Installation
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Kritisch
30. Amazon-Partner
Plugin: Amazon Affiliate
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Mittel
So schützen Sie Ihre WordPress-Website vor anfälligen Plugins und Themes
Wie Sie diesem Bericht entnehmen können, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themen offengelegt. Wir wissen, dass es schwierig sein kann, den Überblick über jede gemeldete Schwachstellenoffenlegung zu behalten, daher macht es das iThemes Security Pro Plugin einfach sicherzustellen, dass auf Ihrer Website kein Theme, Plugin oder keine WordPress-Kernversion mit einer bekannten Schwachstelle ausgeführt wird.
1. Installieren Sie das iThemes Security Pro-Plugin
Das iThemes Security Pro-Plug-in härtet Ihre WordPress-Site gegen die gängigsten Methoden, auf denen Websites gehackt werden. Mit über 30 Möglichkeiten, Ihre Website in einem einfach zu verwendenden Plugin zu sichern.
2. Aktivieren Sie den Site-Scan, um nach bekannten Schwachstellen zu suchen
Die Versionsverwaltungsfunktion in iThemes Security Pro integriert sich in den Site-Scan, um Ihre Site zu schützen. Anfällige Themes, Plugins und WordPress-Kernversionen werden automatisch für Sie aktualisiert.
3. Aktivieren Sie die Dateiänderungserkennung
Der Schlüssel zum schnellen Erkennen einer Sicherheitsverletzung ist die Überwachung von Dateiänderungen auf Ihrer Website. Die Dateiänderungserkennungsfunktion in iThemes Security Pro scannt die Dateien Ihrer Website und benachrichtigt Sie, wenn Änderungen auf Ihrer Website auftreten.
Holen Sie sich iThemes Security Pro mit Website-Sicherheitsüberwachung rund um die Uhr
iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet mehr als 50 Möglichkeiten zum Sichern und Schützen Ihrer Website vor gängigen WordPress-Sicherheitslücken. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website zusätzliche Sicherheitsebenen hinzufügen.
