Suche
Close this search box.

Kategorie: WordPress

Sicherheitslücken in WordPress Plugins
Bedrohung

Sicherheitslücken in WordPress Plugins

Sicherheitslücken in WordPress Plugins sind leider keine Seltenheit. In dem beliebten Content-Management-System kann man zahlreiche Plugins einsetzen um die Features des bereits mächtigen Systems zu erweitern. Wir haben bereits in der Vergangenheit über diverse Sicherheitslücken in WordPress Plugins berichtet. Heute stehen zwei Plugins im Fokus. Vorweg genommen, es gibt für beide Plugins bereits ein Update. Wir raten dazu möglichst schnell über die WordPress Update-Funktion die aktuellen Versionen zu installieren. Sicherheitslücken in WordPress Plugins Werfen wir einen genaueren Blick auf die betroffenen Plugins. Die Sicherheitslücken beider Plugins werden als „kritisch“ bewertet da die komplette Webseite übernommen werden kann. Betroffen sind rund 750.000 Webseiten welche diese Plugins einsetzen. 1. DSGVO-Plugin GDPR Cookie Consent Das erste Plugin ist das vielseitig beliebte DSGVO Plugin GDPR Cookie Consent. Mit diesem Plugin kann man seine WordPress Seite für die Datenschutz-Grundverordnung der EU fit machen. Betroffen sind ca. 700.000 Webseiten welche dieses Plugin im Einsatz haben. Die kritische Sicherheitslücke des Plugins kann für eine persistente XSS-Attacke ausgenutzt werden. Die Schwachstelle ist ein AJAX Endpoint, der nur für Admins zugänglich sein sollte. Auf Grund von mangelnder Prüfung können aber auch authentifizierte Benutzer bzw. Angreifer darauf zugreifen und die Webseite kompromittieren.  Eine genaue Erläuterung wie man die Schwachstellen ausnutzen könnte, wird von den Sicherheitsforschern von Nin TechNet auf deren Webseite beschrieben. Der Plugin Entwickler hat bereits reagiert und ein Update mit der Version 1.8.3 veröffentlicht. 2. Profile Builder Das zweite Plugin mit einer Sicherheitslücke ist der Profile Builder (User Registration & User Profile – Profile Builder) von Cozmoslabs. Mit wenig Aufwand kann man über die Schwachstelle sich selbst zum Admin machen. So können Angreifer relativ schnell und einfach die komplette Webseite übernehmen. Die Sicherheitslücke wurde mit dem höchsten Score von 10 bewertet. Angriffe können hierbei direkt über das Internet stattfinden und sogar ohne Authentifizierung. Mit der aktuellen Version 3.1.1 soll die Schwachstelle geschlossen sein. Also auch hier gilt: „Updaten, updaten, updaten!“ Alle vorherigen Versionen von 3.1.1 sollen laut Wordfence betroffen sein. Das Plugin ermöglicht es Benutzern Profile anzulegen und zu bearbeiten. Angreifer könnten auf Grund der Schwachstelle Eingaben in dafür nicht vorgesehene Felder abschicken. Laut Wordfence soll es bislang aber keine Attacken gegeben haben. Secure Webhosting – Sicherheitslücken in WordPress Plugins schnell updaten? Sicherheitslücken in WordPress Plugins möglichst sofort updaten? Die iKomm GmbH bietet als Managed Security Provider auch im Bereich des Secure Webhosting einige Pakete an. Gerade im WordPress-Hosting haben wir zahlreiche Sicherheitsfeatures in unsere Webhosting-Pakete inkludiert. Angefangen von automatischen Backups, automatischen Updates des WordPress Core-Systems sowie automatische Updates für Ihre installierten Plugins. Gerne erläutern wir Ihnen weitere Sicherheitsfeatures zu unseren Secure-Web-Hosting Paketen. Sprechen Sie uns an. Kontaktieren Sie uns telefonisch, per E-Mail oder füllen Sie schnell und einfach unser Kontaktformular aus. Unsere Techniker stehen Ihnen gerne jederzeit mit Rat und Tat zur Seite. Bild von Kevin Phillips auf Pixabay

Sicherheitslücken in WordPress entdeckt
Sicherheit

Sicherheitslücken in WordPress entdeckt

Sicherheitslücken in WordPress entdeckt – Genauer gesagt wurden gleich in drei beliebten WordPress Plugins gravierende Sicherheitslücken entdeckt. Rund 400.000 Websites sind derzeit  betroffen. Betreiber von Webseiten, die die an sich praktischen Erweiterungen des Content Managements Systems nicht schnellstmöglich aktualisieren, riskieren unter anderem, dass sich Unbefugte Zugriff verschaffen. WordPress CMS –  das weltweit meist genutzte Open Source Content Management System WordPress hat sich seit dem Start im Jahre 2003 zu einem des am häufigsten genutzten Content Management Systems weltweit entwickelt. Rund 50% aller Webseiten welche auf ein CMS aufbauen wurden mit WordPress erstellt. Der Anteil von WordPress in Bezug auf alle Webseiten weltweit liegt bei der beachtlichen Zahl von ca 32%. Das freie CMS Tool bietet viele Individualisierungsmöglichkeiten sowie einfache Verwaltung und Wartung. Plugins (Erweiterungen) sorgen für weitere Möglichkeiten eine Webseite nach heutigen Standards einfach realisieren zu können. Doch gerade hier ist Vorschicht geboten, denn die oft praktischen Plugins von externen Entwicklern oder Drittanbietern stellen ein nur schwer zu kalkulierendes Risiko dar. Das zeigt auch der aktuelle Fall, bei dem in drei Erweiterungen Sicherheitslücken in WordPress entdeckt wurden. Sicherheitslücken in WordPress entdeckt Bei den Sicherheitslücken handelt es sich konkret um die drei Plugins InfiniteWP, WP Database Reset und WP Time Capsule. Vor allem InfiniteWP erfreut sich großer Beliebtheit, weil es eine zentrale Verwaltung aller WordPress-Installationen ermöglicht. Wenn ein Unternehmen mehrere Webseiten betreibt oder Ihre Webseite von einer Agentur entwickelt worden ist, ist die Wahrscheinlichkeit relativ hoch, dass dieses Plugin im Einsatz ist. Sicherheitsexperten welche die Schwachstelle aufgedeckt haben, zeigen das es bereits genügt Kenntnis über den Account-Namen zu haben um sich Zugang zum Nutzeraccount zu verschaffen. Ein Update welches diese Lücken schließen soll ist bereits veröffentlicht worden. Unbefugter Admin-Zugang Auch bei den beiden anderen Plugins wurden Sicherheitslücken entdeckt die es in sich haben. WP Time Capsule wird häufig zur einfachen Erstellung von Backups verwendet. Durch die Schwachstelle ist es Unbefugten Benutzern möglich sich ohne weitere Authentifizierung als Admin anmelden zu können. Auch hier hat der Entwickler sofort reagiert und bereits ein Update des beliebten Plugins veröffentlicht. Auch bei WP Database Reset ist es möglich über eine Sicherheitslücke sich Admin-Rechte zu verschaffen. Zugleich ermöglicht es Angreifern die Datenbank Zurückzusetzen und mit Set-up-Werten zu befüllen. Schätzungen zufolge ist dieses Plugin auf mehr als 80.000 WordPress Installationen im Einsatz. Auch hier sollte schnellstmöglich ein Update auf die Version 3.15 durchgeführt werden um die Sicherheitslücken zu schließen. Risiko durch fehlendes Patch-Management In vielen Unternehmen stellt sich das Problem, dass sich niemand um die „Überwachung“ von Anwendungen kümmert. Jede Anwendung kann ein Risiko darstellen, wenn sie nicht auf den aktuellen Stand gebracht bzw. gehalten wird. Das gilt sowohl für Software auf Ihrem „PC“ oder „Server“ sowie auch für „Web-Anwendungen“ und „Content Management Systeme“ wie WordPress. Durch ein Patch-Management lässt sich das Risiko, Opfer einer Hacker-Attacke zu werden, massiv minimieren. Sicherheitsexperten nehmen regelmäßig Anwendungen unter die Lupe um Sicherheitslücken aufzuspüren. Sobald Updates für die Anwendungen vorhanden sind um diese Sicherheitslücken zu schließen sollten diese auch durchgeführt werden um das Worst-case-Szenario zu vermeiden. Mit dem iKomm MSP Secure Webhosting bieten wir Ihnen ein vollständiges Patch-Management Ihrer WordPress-Installation, automatisierte Backups und weitere Sicherheitsfunktionen wie eine WAF – Web Application Firewall an. Kunden der iKomm MSP Hosting Infrastruktur müssen sich keine Sorgen machen, denn wir verwenden keines der oben genannten Plugins für unsere Verwaltungen. Sollte Ihre Webseite von einer Agentur erstellt worden sein, gäbe es prinzipiell die Möglichkeit das dennoch ein betroffenes Plugin installiert ist. Durch unser Patch-Management wurde die Plugins aber bereits aktualisiert, da für alle drei Plugins bereits Updates verfügbar sind. Sollten Sie dennoch Fragen haben, können Sie gerne unsere Technik kontaktieren. Wir freuen uns auf Ihre Anfragen.   Quelle des Beitrags: https://it-service.network/blog/2020/01/21/wordpress-sicherheitsluecken/?utm_source=facebook&utm_medium=social  

Nach oben scrollen