WordPress-Schwachstellenbericht: November 2021, Teil 4

Veröffentlicht: 2021-11-25

Anfällige Plugins und Themes sind der häufigste Grund, warum WordPress-Websites gehackt werden. Der wöchentliche WordPress-Schwachstellenbericht powered by WPScan behandelt aktuelle Schwachstellen in WordPress-Plugins, -Themen und -Kernen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Designs auf Ihrer Website ausführen.

Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die verantwortungsbewusste Offenlegung und Meldung von Schwachstellen ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community.

Bitte teilen Sie diesen Beitrag mit Ihren Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.

Möchten Sie, dass dieser Bericht jede Woche in Ihren Posteingang geliefert wird?
Abonnieren Sie die wöchentliche E-Mail

WordPress-Hosting: GoDaddy gehackt

In einer am 21. November 2021 veröffentlichten Sicherheitsoffenlegung sagt GoDaddy, dass bis zu 1,2 Millionen aktive und inaktive Kunden aufgedeckt wurden, nachdem Hacker Zugriff auf seine verwaltete WordPress-Hosting-Plattform erhalten hatten.

Wir haben einen Beitrag geschrieben, um einige Details des jüngsten GoDaddy-Hacks zu entpacken, wie er sich auf Kunden auswirkt, und unsere Empfehlungen, was zu tun ist, wenn Sie ein WordPress-Hosting-Kunde bei GoDaddy sind.

Lesen Sie den Beitrag

WordPress-Core-Schwachstellen

Die neueste Version des WordPress-Kerns ist 5.8.2. Als bewährte Methode sollten Sie immer die neueste Version des WordPress-Kerns ausführen!

Sicherheitslücken in WordPress-Plugins

In diesem Abschnitt wurden die neuesten Sicherheitslücken in WordPress-Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.

1. Pixel Cat Lite

Plugin: Pixel Cat Lite
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 2.6.3
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.6.3 updaten.

Plugin: Pixel Cat Lite
Schwachstelle : CSRF für Stored Cross-Site Scripting
Gepatcht in Version : 2.6.2
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.6.2 updaten.

2. All-In-One-Galerie

Plugin: All-In-One-Galerie
Schwachstelle : Admin+ Local File Inclusion
Gepatcht in Version : 2.5.0
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 2.5.0 aktualisieren.

3. StopBadBots

Plugin: StopBadBots
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 6.67
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 6.67 aktualisieren.

4. Vorübergehende Anmeldung ohne Passwort

Plugin: Temporäre Anmeldung ohne Passwort
Schwachstelle : Aktualisierung der Einstellungen des Subscriber+ Plugins
Gepatcht in Version : 1.7.1
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.7.1 updaten.

5. ProfilDrücken

Plugin: ProfilePress
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 3.2.3
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.2.3 aktualisieren.

Plugin: ProfilePress
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 3.2.3
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.2.3 aktualisieren.

6. Moderner Veranstaltungskalender

Plugin: Moderner Veranstaltungskalender
Schwachstelle : Nicht authentifizierte blinde SQL-Injektion
Gepatcht in Version : 6.1.5
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 6.1.5 updaten.

Plugin: Moderner Veranstaltungskalender
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 6.1.5
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 6.1.5 updaten.

7. Automatisch ausgewähltes Bild

Plugin: Automatisch hervorgehobenes Bild
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 3.9.3
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.9.3 updaten.

8. Ultimatives NoFollow

Plugin: Ultimatives NoFollow
Schwachstelle : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Mittel

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 28. September 2021 geschlossen. Deinstallieren und löschen.

9. NEX-Formulare

Plugin: NEX-Formulare
Schwachstelle : Multiple Admin+ Stored Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Niedrig

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 4. Oktober 2021 geschlossen. Deinstallieren und löschen.

10. SEO-Booster

Plugin: SEO-Booster
Schwachstelle : Admin+ SQL Injection
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Mittel

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 5. Oktober 2021 geschlossen. Deinstallieren und löschen.

11. WP-Systemprotokoll

Plugin: WP-Systemprotokoll
Schwachstelle : Nicht authentifiziertes gespeichertes Cross-Site-Scripting
Gepatcht in Version : 1.0.21
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.0.21 aktualisieren.

12. Inspirierender Zitat-Rotator

Plugin: Inspirierender Zitat-Rotator
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Niedrig

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 23. September 2021 geschlossen. Deinstallieren und löschen.

13. Single-Post-Exporteur

Plugin: Single Post Exporter
Schwachstelle : Update der Plugin-Einstellungen über CSRF
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Mittel

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 23. September 2021 geschlossen. Deinstallieren und löschen.

14. Lokale Flex-Schriftarten

Plugin: Lokale Schriftarten von Flex
Schwachstelle : Admin+ Stored Cross-Site-Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Niedrig

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 23. September 2021 geschlossen. Deinstallieren und löschen.

15. WP Admin-Logo-Wechsler

Plugin: WP Admin-Logo-Wechsler
Schwachstelle : Update der Plugin-Einstellungen über CSRF
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Mittel

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 4. Oktober 2021 geschlossen. Deinstallieren und löschen.

16. Erweiterte Datenbank für Kontaktformulare

Plugin: Erweiterte Datenbank für Kontaktformulare
Schwachstelle : Nicht autorisierte AJAX-Aufrufe
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Mittel

Dieses Plugin wurde am 27. September 2021 geschlossen und steht nicht zum Download zur Verfügung. Diese Schließung ist vorübergehend und wartet auf eine vollständige Überprüfung. Wir empfehlen, dass Sie deinstallieren und löschen, bis ein Fix gefunden wird.

17. Glänzende Knöpfe

Plugin: Glänzende Schaltflächen
Schwachstelle : Nicht authentifiziertes gespeichertes Cross-Site-Scripting
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Hoch

Dieses Plugin wurde am 27. September 2021 geschlossen und steht nicht zum Download zur Verfügung. Diese Schließung ist vorübergehend und wartet auf eine vollständige Überprüfung. Wir empfehlen, dass Sie deinstallieren und löschen, bis ein Fix gefunden wird.

18. Portfolio-Galerie filtern

Plugin: Portfolio-Galerie filtern
Schwachstelle : Willkürliche Löschung der Galerie über CSRF
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Mittel

Dieses Plugin wurde am 27. September 2021 geschlossen und steht nicht zum Download zur Verfügung. Diese Schließung ist vorübergehend und wartet auf eine vollständige Überprüfung. Wir empfehlen, dass Sie deinstallieren und löschen, bis ein Fix gefunden wird.

19. WP-Limits

Plugin: WP-Limits
Schwachstelle : Update der Plugin-Einstellungen über CSRF
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Mittel

Dieses Plugin wurde am 4. Oktober 2021 geschlossen und steht nicht zum Download zur Verfügung. Diese Schließung ist vorübergehend und wartet auf eine vollständige Überprüfung. Wir empfehlen, dass Sie deinstallieren und löschen, bis ein Fix gefunden wird.

20. Shortcode für Seiten-/Beitragsinhalte

Plugin: Shortcode für Seiten-/Beitragsinhalte
Sicherheitsanfälligkeit : Contributor+ willkürlicher Zugriff auf Posts/Seiten
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Mittel

Dieses Plugin wurde am 4. Oktober 2021 geschlossen und steht nicht zum Download zur Verfügung. Diese Schließung ist vorübergehend und wartet auf eine vollständige Überprüfung. Wir empfehlen, dass Sie deinstallieren und löschen, bis ein Fix gefunden wird.

21. Verbesserte Include-Seite

Plugin: Verbesserte Include-Seite
Sicherheitsanfälligkeit : Contributor+ willkürlicher Zugriff auf Posts/Seiten
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Mittel

Dieses Plugin wurde am 8. Oktober 2021 geschlossen und steht nicht zum Download zur Verfügung. Diese Schließung ist vorübergehend und wartet auf eine vollständige Überprüfung. Wir empfehlen, dass Sie deinstallieren und löschen, bis ein Fix gefunden wird.

22. Mediamatisch

Plugin: Mediamatic
Schwachstelle : Subscriber+ SQL Injection
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Hoch

Dieses Plugin wurde am 11. Oktober 2021 geschlossen und steht nicht zum Download zur Verfügung. Diese Schließung ist vorübergehend und wartet auf eine vollständige Überprüfung. Wir empfehlen, dass Sie deinstallieren und löschen, bis ein Fix gefunden wird.

23. Post-Metadaten anzeigen

Plugin: Post-Metadaten anzeigen
Schwachstelle : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Mittel

Dieses Plugin wurde am 21. Oktober 2021 geschlossen und steht nicht zum Download zur Verfügung. Diese Schließung ist vorübergehend und wartet auf eine vollständige Überprüfung. Wir empfehlen, dass Sie deinstallieren und löschen, bis ein Fix gefunden wird.

24. ToTop-Link

Plugin: ToTop-Link
Schwachstelle : Nicht authentifizierte PHP-Objektinjektion
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Mittel

Dieses Plugin wurde am 21. Oktober 2021 geschlossen und steht nicht zum Download zur Verfügung. Diese Schließung ist vorübergehend und wartet auf eine vollständige Überprüfung. Wir empfehlen, dass Sie deinstallieren und löschen, bis ein Fix gefunden wird.

25. Benutzer-Meta-Shortcodes

Plugin: Benutzer-Meta-Shortcodes
Schwachstelle : Contributor+ Unbefugter willkürlicher Benutzer-Metadatenzugriff
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Hoch

Dieses Plugin wurde am 12. Oktober 2021 geschlossen und steht nicht zum Download zur Verfügung. Diese Schließung ist vorübergehend und wartet auf eine vollständige Überprüfung. Wir empfehlen, dass Sie deinstallieren und löschen, bis ein Fix gefunden wird.

26. Zitatsammlung

Plugin: Zitatsammlung
Schwachstelle : Admin+ SQL Injection
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Mittel

Dieses Plugin wurde am 13. Oktober 2021 geschlossen und steht nicht zum Download zur Verfügung. Diese Schließung ist vorübergehend und wartet auf eine vollständige Überprüfung. Wir empfehlen, dass Sie deinstallieren und löschen, bis ein Fix gefunden wird.

27. Push-Benachrichtigungen für WordPress (Lite)

Plugin: Push-Benachrichtigungen für WordPress (Lite)
Schwachstelle : Einstellungsaktualisierung über CSRF
Gepatcht in Version : 6.0.1
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 6.0.1 aktualisieren.

28. SportsPress

Plugin: SportsPress
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 2.7.9
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.7.9 updaten.

29. Anmelde-/Registrierungs-Popup

Plugin: Anmelde-/Registrierungs-Popup
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 2.2
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.2 aktualisieren.

30. Vorschau von E-Mails für WooCommerce

Plugin: E-Mail-Vorschau für WooCommerce
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 2.0.0
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.0.0.5 aktualisieren.

31. WP-Benutzeroberfläche

Plugin: WP User Frontend
Schwachstelle : Plugin für Mitgliedschaft, Profil, Registrierung und Beitragsübermittlung für WordPress
Gepatcht in Version : 3.5.25
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.5.25 aktualisieren.

32. Directorist – Geschäftsverzeichnis-Plugin

Plugin: Directorist – Geschäftsverzeichnis-Plugin
Schwachstelle : CSRF zum Remote-Datei-Upload
Gepatcht in Version : 7.0.6.2
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 7.0.6.2 aktualisieren.

33. Einfache Registrierungsformulare

Plugin: Einfache Registrierungsformulare
Schwachstelle : CSRF für Stored Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Hoch

Dieses Plugin wurde am 12. November 2021 geschlossen und steht nicht zum Download zur Verfügung. Diese Schließung ist vorübergehend und wartet auf eine vollständige Überprüfung. Wir empfehlen, dass Sie deinstallieren und löschen, bis ein Fix gefunden wird.

34. WP Reset Pro

Plugin: WP Reset Pro
Schwachstelle : Zurücksetzen der Subscriber+-Datenbank
Gepatcht in Version : 5.99
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 5.99 aktualisieren.

Plugin: WP Reset Pro
Schwachstelle : Datenbank-Reset über CSRF
Gepatcht in Version : 5.99
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 5.99 aktualisieren.

35. Wordpress + Microsoft Office 365

Plugin: WordPress + Microsoft Office 365
Schwachstelle : Nicht authentifiziertes gespeichertes Cross-Site-Scripting
Gepatcht in Version : 15.4
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 15.4 aktualisieren.

36. Doppelter Beitrag

Plugin: Doppelter Beitrag
Schwachstelle : Authentifizierte SQL-Injection
Gepatcht in Version : 1.2.0
Schweregrad : Mittel

Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 1.2.0 aktualisieren.

37. Sicherungsmigration

Plugin: Backup-Migration
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 1.1.6
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.1.6 aktualisieren.

So schützen Sie Ihre WordPress-Website vor anfälligen Plugins und Themes

Wie Sie diesem Bericht entnehmen können, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themen offengelegt. Wir wissen, dass es schwierig sein kann, den Überblick über jede gemeldete Schwachstellenoffenlegung zu behalten, daher macht es das iThemes Security Pro Plugin einfach sicherzustellen, dass auf Ihrer Website kein Theme, Plugin oder keine WordPress-Kernversion mit einer bekannten Schwachstelle ausgeführt wird.

1. Installieren Sie das iThemes Security Pro-Plugin

Das iThemes Security Pro-Plug-in härtet Ihre WordPress-Site gegen die gängigsten Methoden, auf denen Websites gehackt werden. Mit über 30 Möglichkeiten, Ihre Website in einem einfach zu verwendenden Plugin zu sichern.

2. Aktivieren Sie den Site-Scan, um nach bekannten Schwachstellen zu suchen

Die Versionsverwaltungsfunktion in iThemes Security Pro integriert sich in den Site-Scan, um Ihre Site zu schützen. Anfällige Themes, Plugins und WordPress-Kernversionen werden automatisch für Sie aktualisiert.

3. Dateiänderungen überwachen

Der Schlüssel zum schnellen Erkennen einer Sicherheitsverletzung ist die Überwachung von Dateiänderungen auf Ihrer Website. Die Dateiänderungserkennungsfunktion in iThemes Security Pro scannt die Dateien Ihrer Website und benachrichtigt Sie, wenn Änderungen auf Ihrer Website auftreten.

Holen Sie sich iThemes Security Pro mit Website-Sicherheitsüberwachung rund um die Uhr

iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet mehr als 50 Möglichkeiten zum Sichern und Schützen Ihrer Website vor gängigen WordPress-Sicherheitslücken. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website zusätzliche Sicherheitsebenen hinzufügen.

  • Site-Scanner für Plugin- und Theme-Schwachstellen
  • Erkennung von Dateiänderungen
  • Echtzeit-Sicherheits-Dashboard für Websites
  • WordPress-Sicherheitsprotokolle
  • Vertrauenswürdige Geräte
  • reCaptcha
  • Brute-Force-Schutz
  • Zwei-Faktor-Authentifizierung
  • Magische Login-Links
  • Privilegieneskalation
  • Kompromittierte Passwörter prüfen und ablehnen

Sparen Sie 40 % bei iThemes Security Pro