WordPress-Schwachstellenbericht: Oktober 2021, Teil 4

Veröffentlicht: 2021-10-27

Anfällige Plugins und Themes sind der häufigste Grund, warum WordPress-Websites gehackt werden. Der wöchentliche WordPress-Schwachstellenbericht powered by WPScan behandelt aktuelle Schwachstellen in WordPress-Plugins, -Themen und -Kernen und was zu tun ist, wenn Sie eines der anfälligen Plugins oder Designs auf Ihrer Website ausführen.

Jede Schwachstelle hat eine Schweregradbewertung von Niedrig , Mittel , Hoch oder Kritisch . Die verantwortungsbewusste Offenlegung und Meldung von Schwachstellen ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community.

Bitte teilen Sie diesen Beitrag mit Ihren Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.

Möchten Sie, dass dieser Bericht jede Woche in Ihren Posteingang geliefert wird?
Abonnieren Sie die wöchentliche E-Mail

WordPress-Core-Schwachstellen

Die neueste Version des WordPress-Kerns ist 5.8.1, die als Sicherheits- und Wartungsversion veröffentlicht wurde. Als bewährte Methode sollten Sie immer die neueste Version des WordPress-Kerns ausführen!

Sicherheitslücken in WordPress-Plugins

In diesem Abschnitt wurden die neuesten Sicherheitslücken in WordPress-Plugins offengelegt. Jede Plugin-Auflistung enthält die Art der Schwachstelle, die Versionsnummer, falls gepatcht, und die Bewertung des Schweregrads.

1. Freigegebene Dateien

Plugin: Freigegebene Dateien
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 1.6.61
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.6.61 aktualisieren.

2. QR-Umleitung

Plugin: QR-Redirector
Schwachstelle : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : 1.6.1
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.6.1 updaten.

Plugin: QR-Redirector
Schwachstelle : Statusaktualisierung der Abonnenten+-Antwort auf willkürliche QR-Umleitung
Gepatcht in Version : 1.6
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.6 updaten.

3. Smooth Scroll mit MouseWheel

Plugin: MouseWheel Smooth Scroll
Schwachstelle : Plugin-Einstellungsaktualisierung über CSRF
Gepatcht in Version : 5.7
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 5.7 aktualisieren.

4. Seiten einfügen

Plugin: Seiten einfügen
Sicherheitsanfälligkeit : Contributor+ willkürlicher Zugriff auf Posts/Seiten
Gepatcht in Version : 3.7.0
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.7.0 aktualisieren.

Plugin: Seiten einfügen
Schwachstelle : Contributor+ Stored Cross-Site Scripting
Gepatcht in Version : 3.7.0
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.7.0 aktualisieren.

5. SEO-Umleitung

Plugin: SEO-Umleitung
Schwachstelle : Subscriber+ SQL Injection
Gepatcht in Version : 8.2
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 8.2 aktualisieren.

6. Paypal-Spende

Plugin: Paypal-Spende
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 1.3.2
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.3.2 aktualisieren.

7. IMPress für IDX-Broker

Plugin: IMPress für IDX-Broker
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 3.0.6
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.0.6 updaten.

8. Einfache JWT-Anmeldung

Plugin: Einfache JWT-Anmeldung
Schwachstelle : Willkürliche Einstellungsaktualisierung zur Site-Übernahme über CSRF
Gepatcht in Version : 3.2.1
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.2.1 updaten.

9. Meine Tickets

Plugin: Meine Tickets
Schwachstelle : Subscriber+ SQL Injection
Gepatcht in Version : 1.8.31
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.8.31 updaten.

10. Kundenrechnungsstellung durch Sprout-Rechnungen

Plugin: Kundenabrechnung durch Sprout-Rechnungen
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 19.9.7
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 19.9.7 updaten.

11. E-Mail-Protokoll

Plugin: E-Mail-Protokoll
Schwachstelle : Admin+ SQL Injection
Gepatcht in Version : 2.4.7
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.4.7 updaten.

12. WP Performance Score Booster

Plugin WP Performance Score Booster
Schwachstelle : Einstellungsänderung über CSRF
Gepatcht in Version : 2.1
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.1 updaten.

13. Active Directory-Integration / LDAP-Integration

Plugin: Active Directory-Integration / LDAP-Integration
Schwachstelle : Subscriber+ SQL Injection
Gepatcht in Version : 3.6.95
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 3.6.95 aktualisieren.

14. TableOn

Plugin: TableOn
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 1.0.1
Schweregrad : Mittel

Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 1.0.1 aktualisieren.

15. Responsive Image Slider, Fotogalerie und Karussell

Plugin: Responsive Image Slider, Fotogalerie und Karussell
Schwachstelle : Slider klonen/speichern/löschen über CSRF
Gepatcht in Version : 1.3.2
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.3.2 aktualisieren.

Plugin: Responsive Image Slider, Fotogalerie und Karussell
Schwachstelle : Abonnent + Willkürlicher Post-Zugriff
Gepatcht in Version : 1.3.6
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.3.6 updaten.

16. WP-Sitemap-Seite

Plugin: WP-Sitemap-Seite
Schwachstelle : Admin+ Stored Cross Site Scripting
Gepatcht in Version : 1.7.0
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.7.0 aktualisieren.

17. Strom

Plugin: Streamen
Schwachstelle : Admin+ SQL Injection
Gepatcht in Version : 3.8.2
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.8.2 updaten.

18. Hilfreich

Plugin: Hilfreich
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 4.4.59
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 4.4.59 aktualisieren.

19. LearnPress

Plugin: LearnPress
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 4.1.3.2
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 4.1.3.2 aktualisieren.

20. Content-Inszenierung

Plugin: Content-Staging
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung – Plugin geschlossen
Schweregrad : Niedrig

Diese Schwachstelle wurde NICHT gepatcht. Dieses Plugin wurde am 15. Oktober 2021 geschlossen. Deinstallieren und löschen.

21. Undichte Paywall

Plugin: Leaky Paywall
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : Keine bekannte Lösung
Schweregrad : Niedrig

Diese Schwachstelle wurde NICHT gepatcht. Deinstallieren und löschen Sie das Plugin, bis ein Patch veröffentlicht wird.

22. Tutor LMS

Plugin: Tutor LMS
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 1.9.11
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 1.9.11 aktualisieren.

23. Logo Showcase mit Slick Slider

Plugin: Logo Showcase mit Slick Slider
Schwachstelle : Author+ Stored Cross Site Scripting
Gepatcht in Version : 1.2.4
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.2.4 updaten.

24. Beeindruckender Formularersteller

Plugin: Formidable Form Builder
Schwachstelle : Nicht authentifiziertes gespeichertes Cross-Site-Scripting
Gepatcht in Version : 4.09.05
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 4.09.05 aktualisieren.

25. Plugin herunterladen

Plugin: Plugin herunterladen
Schwachstelle : Abonnent+ Willkürliche Plugin-Aktivierung
Gepatcht in Version : 1.6.1
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.6.1 updaten.

26. Bilder zu WebP

Plugin: Bilder zu WebP
Schwachstelle : Multiple Cross Site Request Forgery (CSRF)
Gepatcht in Version : 1.9
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.9 updaten.

Plugin: Bilder zu WebP
Schwachstelle : Authentifizierter lokaler Dateieinschluss
Gepatcht in Version : 1.9
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.9 updaten.

27. MStore-API

Plugin: MStore-API
Schwachstelle : Nicht authentifizierter PHP-Datei-Upload
Gepatcht in Version : 3.4.5
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.4.5 updaten.

28. Einfache digitale Downloads

Plugin: Einfache digitale Downloads
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 2.11.2.1
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.11.2.1 updaten.

29. Advanced Access Manager

Plugin: Advanced Access Manager
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 6.8.0
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 6.8.0 aktualisieren.

30. YOP-Umfrage

Plugin: YOP-Umfrage
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 6.1.2
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 6.1.2 updaten.

31. Export von WP-Anhängen

Plugin: Export von WP-Anhängen
Schwachstelle : Herunterladen nicht authentifizierter Beiträge
Gepatcht in Version : 0.2.4
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.2.4 updaten.

32. Inhaltstext-Schieberegler auf Post

Plugin: Inhaltstext-Slider auf Post
Schwachstelle : Authenticated Stored Cross-Site Scripting (XSS)
Gepatcht in Version : 6.9
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 6.9 aktualisieren.

33. Eisgramm

Plugin: Icegram
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 2.0.3
Schweregrad : Niedrig

Die Sicherheitslücke ist gepatcht, daher sollten Sie auf Version 2.0.3 aktualisieren.

34. BetterLinks

Plugin: BetterLinks
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 1.2.6
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.2.6 updaten.

35. LearnDash

Plugin: LearnDash
Schwachstelle : Nicht authentifizierter willkürlicher Datei-Upload
Gepatcht in Version : 2.5.4
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.5.4 updaten.

36. ImageBoss

Plugin: ImageBoss
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 3.0.6
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.0.6 updaten.

37. Ausbilder

Plugin: Forminator
Schwachstelle : Admin + Stored Cross Site Scripting
Gepatcht in Version : 1.2.4
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.2.4 updaten.

38. MPL-Verlag

Plugin: MPL-Publisher
Schwachstelle : Admin+ Stored Cross Site Scripting
Gepatcht in Version : 1.30.4
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.30.4 updaten.

39. Elementor

Plugin: Elementor
Schwachstelle : DOM Cross Site Scripting
Gepatcht in Version : 3.1.4
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.1.4 updaten.

40. Frecher sozialer Anteil

Plugin: Sassy Social Share
Schwachstelle : Fehlende Zugriffskontrollen für die PHP-Objektinjektion
Gepatcht in Version : 3.3.24
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.3.24 updaten.

41. Tortenregister

Plugin: Pie Register
Schwachstelle : Offene Weiterleitung
Gepatcht in Version : 3.7.2.4
Schweregrad : Mittel

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 3.7.2.4 updaten.

42. Fortgeschrittene Formulare

Plugin: Erweiterte Formulare
Schwachstelle : Aktualisierung der E-Mail-Adresse des Abonnenten + beliebiger Benutzer über IDOR
Gepatcht in Version : 1.6.9
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.6.9 updaten.

Plugin: Erweiterte Formulare Pro
Schwachstelle : Aktualisierung der E-Mail-Adresse des Abonnenten + beliebiger Benutzer über IDOR
Gepatcht in Version : 1.6.9
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.6.9 updaten.

43. Demo-Import von Fangthemen

Plugin: Demo-Import von Fangthemen
Schwachstelle : Admin+ Willkürlicher Datei-Upload
Gepatcht in Version : 1.8
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 1.8 updaten.

44. Einfache Jobbörse

Plugin: Einfache Jobbörse
Schwachstelle : Admin+ Stored Cross-Site Scripting
Gepatcht in Version : 2.9.5
Schweregrad : Niedrig

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.9.5 updaten.

45. Elfenbeinsuche

Plugin: Elfenbeinsuche
Sicherheitslücke : Reflected Cross-Site Scripting
Gepatcht in Version : 4.7
Schweregrad : Hoch

Die Schwachstelle ist gepatcht, daher sollten Sie auf Version 4.7 aktualisieren.

46. ​​Alterstor

Plugin: Age Gate
Schwachstelle : Authentifiziertes Stored Cross-Site Scripting
Gepatcht in Version : 2.16.4
Schweregrad : Kritisch

Die Schwachstelle ist gepatcht, Sie sollten also auf Version 2.16.4 updaten.

So schützen Sie Ihre WordPress-Website vor anfälligen Plugins und Themes

Wie Sie diesem Bericht entnehmen können, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themen offengelegt. Wir wissen, dass es schwierig sein kann, über jede gemeldete Schwachstellenoffenlegung auf dem Laufenden zu bleiben, daher macht es das iThemes Security Pro-Plugin einfach sicherzustellen, dass auf Ihrer Website kein Design, Plugin oder keine WordPress-Kernversion mit einer bekannten Schwachstelle ausgeführt wird.

1. Suchen Sie nach bekannten Sicherheitslücken auf Websites

Das iThemes Security Pro-Plugin scannt nach dem Hauptgrund, warum WordPress-Seiten gehackt werden: veraltete Plugins und Themes mit bekannten Schwachstellen.

2. Automatisches Update auf sichere Versionen

Die Versionsverwaltungsfunktion in iThemes Security Pro integriert sich in den Site-Scan, um Ihre Site zu schützen. Anfällige Themes, Plugins und WordPress-Kernversionen werden automatisch für Sie aktualisiert.

3. Dateiänderungen überwachen

Der Schlüssel zum schnellen Erkennen einer Sicherheitsverletzung ist die Überwachung von Dateiänderungen auf Ihrer Website. Die Dateiänderungserkennungsfunktion in iThemes Security Pro scannt die Dateien Ihrer Website und benachrichtigt Sie, wenn Änderungen auf Ihrer Website auftreten.

Holen Sie sich iThemes Security Pro mit Website-Überwachung rund um die Uhr

iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet mehr als 50 Möglichkeiten zum Sichern und Schützen Ihrer Website vor gängigen WordPress-Sicherheitslücken. Mit WordPress, Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website zusätzliche Sicherheitsebenen hinzufügen.

  • Site-Scanner für Plugin- und Theme-Schwachstellen
  • Erkennung von Dateiänderungen
  • Echtzeit-Sicherheits-Dashboard für Websites
  • WordPress-Sicherheitsprotokolle
  • Vertrauenswürdige Geräte
  • reCaptcha
  • Brute-Force-Schutz
  • Zwei-Faktor-Authentifizierung
  • Magische Login-Links
  • Privilegieneskalation
  • Kompromittierte Passwörter prüfen und ablehnen

Holen Sie sich iThemes Security Pro