WordPress-Schwachstellenbericht: November 2021, Teil 1

Veröffentlicht: 2021-11-03

Anfällige Plugins und Themes sind der häufigste Grund, warum WordPress-Websites gehackt werden. Der wöchentliche WordPress-Schwachstellenbericht powered by WPScan behandelt aktuelle Schwachstellen in WordPress-Plugins, -Themen und -Kernen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Designs auf Ihrer Website ausführen.

Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die verantwortungsbewusste Offenlegung und Meldung von Schwachstellen ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community.

Bitte teilen Sie diesen Beitrag mit Ihren Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.

Möchten Sie, dass dieser Bericht jede Woche in Ihren Posteingang geliefert wird?

Abonnieren Sie die wöchentliche E-Mail

WordPress-Core-Schwachstellen

Die neueste Version des WordPress-Kerns ist 5.8.1. Als bewährte Methode sollten Sie immer die neueste Version des WordPress-Kerns ausführen!

Sicherheitslücken in WordPress-Plugins

In diesem Abschnitt wurden die neuesten Sicherheitslücken in WordPress-Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.

1. Bewertungen Plus

Plugin: Bewertungen Plus
Schwachstelle : Abonnenten+ Bewertungen DoS
Gepatcht in Version : 1.2.14
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.2.14 aktualisieren.

2. Diashow-Galerie

Plugin: Diashow-Galerie
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 1.7.4
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.7.4 updaten.

3. MainWP-Kind

Plugin: MainWP Child
Schwachstelle : Admin+ SQL Injection
Gepatcht in Version : 4.1.8
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 4.1.8 aktualisieren.

4. E-Commerce-Produktkatalog für WordPress

Plugin: E-Commerce-Produktkatalog für WordPress
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 3.0.39
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.0.39 updaten.

5. Falang mehrsprachig für WordPress

Plugin: Falang mehrsprachig für WordPress
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 1.3.18
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.3.18 aktualisieren.

6. Video-Unterrichtsmanager

Plugin: Video Lessons Manager
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 1.7.2
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.7.2 updaten.

7. WP-Rechtschreibprüfung

Plugin: WP-Rechtschreibprüfung
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 9.3
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 9.3 updaten.

8. E-Commerce – Zwei-Faktor-Authentifizierung

Plugin: E-Commerce – Zwei-Faktor-Authentifizierung
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 1.0.5
Schweregrad : Hoch

Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 1.0.5 aktualisieren.

9. MAZ-Lader

Plugin: MAZ-Loader
Schwachstelle : Willkürliche Loader-Löschung über CSRF
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Hoch

Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

10. Alterstor

Plugin: Age Gate
Schwachstelle : Nicht authentifizierte Importeinstellungen
Gepatcht in Version : 2.17.1
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.17.1 updaten.

11. Doppelter Beitrag

Plugin: Doppelter Beitrag
Schwachstelle : Authentifizierte SQL-Injection
Gepatcht in Version : 1.2.0
Schweregrad : Mittel

Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 1.2.0 aktualisieren.

12. Benachrichtigung

Plugin: Benachrichtigung
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 8.0.0
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 8.0.0 aktualisieren.

13. Connections-Geschäftsverzeichnis

Plugin: Connections-Unternehmensverzeichnis
Schwachstelle : Admin+ CSV Injection
Gepatcht in Version : 9.7
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 9.7 aktualisieren.

14. Media-Tags

Plugin: Media-Tags
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Niedrig

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 28. September 2021 geschlossen. Deinstallieren und löschen.

15. Über die Autorenbox

Plugin: Über die Autorenbox
Schwachstelle : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : 1.0.2
Schweregrad : Mittel

Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 1.0.2 aktualisieren.

16. Abonnements und Mitgliedschaften für PayPal

Plugin: Abonnements & Mitgliedschaften für PayPal
Schwachstelle : Reflektiertes Cross-Site Scripting über Seitenparameter
Gepatcht in Version : 1.1.3
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.1.3 aktualisieren.

17. Akzeptieren Sie Spenden mit PayPal

Plugin: Spenden mit PayPal annehmen
Schwachstelle : Reflektiertes Cross-Site Scripting über Seitenparameter
Gepatcht in Version : 1.3.1
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.3.1 updaten.

18. Einfache PayPal-Ereignisse

Plugin: Einfache PayPal-Ereignisse
Schwachstelle : Reflektiertes Cross-Site Scripting über Seitenparameter
Gepatcht in Version : 1.1.2
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.1.2 aktualisieren.

19. Popup-Irgendwas

Plugin: Popup Alles
Schwachstelle : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : 2.0.4
Schweregrad : Hoch

Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 2.0.4 aktualisieren.

20. JS-Job-Manager

Plugin: JS-Job-Manager
Schwachstelle : Nicht authentifizierte willkürliche Plugin-Installation/-Aktivierung
Gepatcht in Version : 1.1.9
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.1.9 aktualisieren.

21. Massenänderung von Datum und Uhrzeit

Plugin: Bulk Datetime Change
Schwachstelle : Fehlende Autorisierung
Gepatcht in Version : 1.12
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.12 aktualisieren.

22. Ninja-Formulare

Plugin: Ninja-Formulare
Schwachstelle : Admin+ SQL Injection
Gepatcht in Version : 3.6.4
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.6.4 updaten.

23. Export von WP-Anhängen

Plugin: Export von WP-Anhängen
Schwachstelle : Herunterladen nicht authentifizierter Beiträge
Gepatcht in Version : 0.2.4
Schweregrad : Hoch

Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 0.2.4 aktualisieren.

24. Inhaltstext-Schieberegler auf Post

Plugin: Inhaltstext-Slider auf Post
Schwachstelle : Authenticated Stored Cross-Site Scripting (XSS)
Gepatcht in Version : 6.9
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 6.9 aktualisieren.

25. HashThemes-Demo-Importeur

Plugin: HashThemes-Demo-Importer
Schwachstelle : Unsachgemäße Zugriffskontrolle zum Zurücksetzen des Blogs
Gepatcht in Version : 1.1.2
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.1.2 aktualisieren.

26. Registrierungen für den Veranstaltungskalender

Plugin: Registrierungen für den Veranstaltungskalender
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 2.7.5
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.7.5 updaten.

27. Mang Board WP

Plugin: MangBoard WP
Schwachstelle : SQL-Injection
Gepatcht in Version : 1.6.9
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.6.9 updaten.

28. OptinMonster

Plugin: OptinMonster
Schwachstelle : Ungeschützte REST-API-Endpunkte
Gepatcht in Version : 2.6.5
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.6.5 updaten.

29. NextScripts: Auto-Poster für soziale Netzwerke

Plugin: NextScripts: Auto-Poster für soziale Netzwerke
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 4.3.21
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 4.3.21 aktualisieren.

30. Smash Balloon Social Post Feed

Plugin: Smash Balloon Social Post Feed
Schwachstelle : Abonnenten+ willkürliche Plug-in-Einstellungen werden auf gespeichertes XSS aktualisiert
Gepatcht in Version : 4.0.1
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 4.0.1 aktualisieren.

31. WP-Profi-Quiz

Plugin: WP-Pro-Quiz
Schwachstelle : Willkürliche Quiz-Löschung über CSRF
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Mittel

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 17. Juli 2020 geschlossen. Deinstallieren und löschen.

32. Kontaktformular von Supsystic

Plugin: Kontaktformular von Supsystic
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : keine bekannte Lösung
Schweregrad : Niedrig

Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

33. WP-Statistiken

Plugin: WP-Statistiken
Schwachstelle : CSRF zu Stored Cross-Site Scripting (XSS)
Gepatcht in Version : 2.52
Schweregrad : Hoch

Dieses Plugin wurde nicht mit den letzten 3 Hauptversionen von WordPress getestet. Es wird möglicherweise nicht mehr gewartet oder unterstützt und kann Kompatibilitätsprobleme aufweisen, wenn es mit neueren Versionen von WordPress verwendet wird.

Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

So schützen Sie Ihre WordPress-Website vor anfälligen Plugins und Themes

Wie Sie diesem Bericht entnehmen können, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themen offengelegt. Wir wissen, dass es schwierig sein kann, über jede gemeldete Schwachstellenoffenlegung auf dem Laufenden zu bleiben, daher macht es das iThemes Security Pro-Plugin einfach sicherzustellen, dass auf Ihrer Website kein Design, Plugin oder keine WordPress-Kernversion mit einer bekannten Schwachstelle ausgeführt wird.

1. Installieren Sie das iThemes Security Pro-Plugin

Das iThemes Security Pro-Plug-in härtet Ihre WordPress-Site gegen die gängigsten Methoden, auf denen Websites gehackt werden. Mit über 30 Möglichkeiten, Ihre Website in einem einfach zu verwendenden Plugin zu sichern.

2. Aktivieren Sie den Site-Scan, um nach bekannten Schwachstellen zu suchen

Die Versionsverwaltungsfunktion in iThemes Security Pro integriert sich in den Site-Scan, um Ihre Site zu schützen. Anfällige Themes, Plugins und WordPress-Kernversionen werden automatisch für Sie aktualisiert.

3. Dateiänderungen überwachen

Der Schlüssel zum schnellen Erkennen einer Sicherheitsverletzung ist die Überwachung von Dateiänderungen auf Ihrer Website. Die Dateiänderungserkennungsfunktion in iThemes Security Pro scannt die Dateien Ihrer Website und benachrichtigt Sie, wenn Änderungen auf Ihrer Website auftreten.

Holen Sie sich iThemes Security Pro mit Website-Überwachung rund um die Uhr

iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet mehr als 50 Möglichkeiten zum Sichern und Schützen Ihrer Website vor gängigen WordPress-Sicherheitslücken. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website zusätzliche Sicherheitsebenen hinzufügen.

Site-Scanner für Plugin- und Theme-Schwachstellen
Erkennung von Dateiänderungen
Echtzeit-Sicherheits-Dashboard für Websites
WordPress-Sicherheitsprotokolle
Vertrauenswürdige Geräte
reCaptcha
Brute-Force-Schutz
Zwei-Faktor-Authentifizierung
Magische Login-Links
Privilegieneskalation
Kompromittierte Passwörter prüfen und ablehnen