WordPress-Schwachstellenbericht: November 2021, Teil 2
Veröffentlicht: 2021-11-10Anfällige Plugins und Themes sind der häufigste Grund, warum WordPress-Websites gehackt werden. Der wöchentliche WordPress-Schwachstellenbericht powered by WPScan behandelt aktuelle Schwachstellen in WordPress-Plugins, -Themen und -Kernen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Designs auf Ihrer Website ausführen.
Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die verantwortungsbewusste Offenlegung und Meldung von Schwachstellen ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community.
Bitte teilen Sie diesen Beitrag mit Ihren Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.
WordPress-Core-Schwachstellen
Die neueste Version des WordPress-Kerns ist 5.8.1. Als bewährte Methode sollten Sie immer die neueste Version des WordPress-Kerns ausführen!
Sicherheitslücken in WordPress-Plugins
In diesem Abschnitt wurden die neuesten Sicherheitslücken in WordPress-Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.
1. Wettbewerbsgalerie
Plugin: Wettbewerbsgalerie
Schwachstelle : Offenlegung der E-Mail-Adresse des Abonnenten
Gepatcht in Version : 13.1.0.7
Schweregrad : Mittel
Plugin: Wettbewerbsgalerie
Schwachstelle : Fehlende Zugriffskontrollen für nicht authentifizierte SQL-Einschleusung / Offenlegung von E-Mail-Adressen
Gepatcht in Version : 13.1.0.6
Schweregrad : Hoch
2. E-Mail prüfen und protokollieren
Plugin: E-Mail prüfen und protokollieren
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 1.0.4
Schweregrad : Hoch
3. BSK PDF-Manager
Plugin: BSK PDF-Manager
Schwachstelle : Admin+ SQL Injection
Gepatcht in Version : 3.1.2
Schweregrad : Mittel
4. Stylischer Kostenrechner
Plugin: Stylischer Kostenrechner
Schwachstelle : Abonnent+ nicht autorisierte AJAX-Aufrufe an gespeichertes XSS
Gepatcht in Version : 7.0.4
Schweregrad : Hoch
5. Shop-Seite WP
Plugin: Shop-Seite WP
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 1.2.8
Schweregrad : Mittel
6. Ibtana – E-Commerce-Produkt-Add-Ons
Plugin: Ibtana – E-Commerce-Produkt-Addons
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 0.2.4
Schweregrad : Hoch
7. WP-RSS-Aggregator
Plugin: WP RSS-Aggregator
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 4.19.2
Schweregrad : Niedrig
8. Blöcke generieren
Plugin: GenerateBlocks
Schwachstelle : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : 1.4.0
Schweregrad : Mittel
9. E-Mail vor dem Download
Plugin: E-Mail vor dem Download
Schwachstelle : Admin+ SQL Injection
Gepatcht in Version : 6.8
Schweregrad : Mittel
10. meinCred
Plugin: myCred
Schwachstelle : Subscriber+ SQL Injection
Gepatcht in Version : 2.3
Schweregrad : Hoch
11. Google Maps Einfach
Plugin: Google Maps Easy
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 1.10.1
Schweregrad : Niedrig
12. Mein Kalender
Plugin: Mein Kalender
Schwachstelle : Abonnenten+ Reflected Cross-Site Scripting
Gepatcht in Version : 3.2.18
Schweregrad : Mittel
13. ARForms-Formulargenerator
Plugin: ARForms Form Builder
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 1.5
Schweregrad : Niedrig
14. WP-DSGVO-Tools
Plugin: WP DSGVO-Tools
Sicherheitsanfälligkeit : Nicht authentifiziertes willkürliches Löschen nach dem Löschen
Gepatcht in Version : 3.1.24
Schweregrad : Hoch
15. WP Alle importieren
Plugin: WP All Import
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 3.6.3
Schweregrad : Niedrig
16. WPS-Anmeldung ausblenden
Plugin: WPS-Anmeldung ausblenden
Schwachstelle : Schutzumgehung mit Referer-Header
Gepatcht in Version : 1.9.1
Schweregrad : Mittel
17. WP-Google-Schriftarten
Plugin: WP Google Fonts
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 3.1.5
Schweregrad : Mittel
18. Event-Manager für WooCommerce
Plugin: Event Manager für WooCommerce
Schwachstelle : Nicht authentifizierter willkürlicher Elementor-Vorlagenimport
Gepatcht in Version : 3.5.3
Schweregrad : Mittel
Plugin: Event Manager für WooCommerce
Schwachstelle : Nicht authentifiziertes Zurücksetzen willkürlicher Optionen
Gepatcht in Version : 3.5.3
Schweregrad : Hoch
19. AutomatorWP
Plugin: AutomatorWP
Schwachstelle : Fehlende Autorisierung und Rechteausweitung
Gepatcht in Version : 1.7.6
Schweregrad : Mittel
20. Logo-Slider und Showcase
Plugin: Logo-Slider und Showcase
Schwachstelle : Aktualisierung der Einstellungen des Editor-Plugins
Gepatcht in Version : 1.3.37
Schweregrad : Niedrig
21. Stylische Preisliste
Plugin: Stylische Preisliste
Schwachstelle : Nicht authentifizierter willkürlicher Bild-Upload
Gepatcht in Version : 6.9.0
Schweregrad : Mittel
Plugin: Stylische Preisliste
Schwachstelle : Abonnent + beliebiger Bild-Upload
Gepatcht in Version : 6.9.1
Schweregrad : Mittel
22. WP-Debugging
Plugin: WP-Debugging
Schwachstelle : Aktualisierung der Einstellungen des nicht authentifizierten Plugins
Gepatcht in Version : 2.11.0
Schweregrad : Mittel
23. Hotelliste
Plugin: Hotelverzeichnis
Schwachstelle : Authentifiziertes Stored Cross-Site Scripting
Gepatcht in Version : 1.3.3
Schweregrad : Mittel
24. E-Mail-Tracker
Plugin: E-Mail-Tracker
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 5.2.6
Schweregrad : Hoch
25. Kontaktformular von Supsystic
Plugin: Kontaktformular von Supsystic
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 1.7.20
Schweregrad : Niedrig
26. Restaurantmenü von MotoPress
Plugin: Restaurantmenü von MotoPress
Schwachstelle : Admin+ Stored Cross Site Scripting
Gepatcht in Version : 2.4.2
Schweregrad : Niedrig
27. SEO-Umleitung
Plugin: SEO-Umleitung
Schwachstelle : Subscriber+ SQL Injection
Gepatcht in Version : 8.2
Schweregrad : Mittel
28. Tutor LMS
Plugin: Tutor LMS
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 1.9.11
Schweregrad : Mittel
29. Ninja-Formulare
Plugin: Ninja-Formulare
Schwachstelle : Admin+ SQL Injection
Gepatcht in Version : 3.6.4
Schweregrad : Mittel
30. Registrierungen für den Veranstaltungskalender
Plugin: Registrierungen für den Veranstaltungskalender
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 2.7.5
Schweregrad : Hoch
So schützen Sie Ihre WordPress-Website vor anfälligen Plugins und Themes
Wie Sie diesem Bericht entnehmen können, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themen offengelegt. Wir wissen, dass es schwierig sein kann, über jede gemeldete Schwachstellenoffenlegung auf dem Laufenden zu bleiben, daher macht es das iThemes Security Pro-Plugin einfach sicherzustellen, dass auf Ihrer Website kein Design, Plugin oder keine WordPress-Kernversion mit einer bekannten Schwachstelle ausgeführt wird.
1. Installieren Sie das iThemes Security Pro-Plugin
Das iThemes Security Pro-Plug-in härtet Ihre WordPress-Site gegen die gängigsten Methoden, auf denen Websites gehackt werden. Mit über 30 Möglichkeiten, Ihre Website in einem einfach zu verwendenden Plugin zu sichern.
2. Aktivieren Sie den Site-Scan, um nach bekannten Schwachstellen zu suchen
Die Versionsverwaltungsfunktion in iThemes Security Pro integriert sich in den Site-Scan, um Ihre Site zu schützen. Anfällige Themes, Plugins und WordPress-Kernversionen werden automatisch für Sie aktualisiert.
3. Dateiänderungen überwachen
Der Schlüssel zum schnellen Erkennen einer Sicherheitsverletzung ist die Überwachung von Dateiänderungen auf Ihrer Website. Die Dateiänderungserkennungsfunktion in iThemes Security Pro scannt die Dateien Ihrer Website und benachrichtigt Sie, wenn Änderungen auf Ihrer Website auftreten.
Holen Sie sich iThemes Security Pro mit Website-Überwachung rund um die Uhr
iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet mehr als 50 Möglichkeiten zum Sichern und Schützen Ihrer Website vor gängigen WordPress-Sicherheitslücken. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website zusätzliche Sicherheitsebenen hinzufügen.