WordPress: Aktuelle Sicherheitslücken im Überblick

Sicherheit
WordPress: Aktuelle Sicherheitslücken im Überblick

Hier finden sich alle aktuellen Sicherheitslücken von WordPress, Plugins und Themes, die im laufenden Monat bekannt wurden. Wer hinsichtlich der Sicherheit in der WordPress-Welt immer auf dem Laufenden sein möchte, sollte am besten einmal pro Monat hier vorbeischauen.

WordPress ist das meist genutzte Content Management System der Welt. Dementsprechend ist das System natürlich gefundenes Fressen für Angreifer. Dafür gilt WordPress aber auch als äußert sicher. Wen man im Rahmen einer WordPress Wartung regelmäßig alle (Sicherheits-)Updates einspielt und Plugins oder Themes mit Bedacht auswählt, gibt es kaum etwas zu befürchten.

Dennoch ist es natürlich so, dass sich von Zeit zu Zeit Sicherheitslücken einschleichen können — zum Beispiel in Plugins. Das geschieht in der Regel durch Unachtsamkeit in der Programmierung. Das gilt übrigens nicht nur für WordPress oder WordPress Plugins, sondern auch für alle anderen Content Management Systeme. Ein großer Vorteil von WordPress: Durch die internationale, riesige Entwickler-Community werden Sicherheitsprobleme oftmals schnell entdeckt, gemeldet und entsprechend mit einem Update geschlossen.

Dennoch ist es natürlich sinnvoll, wenn man weiß, ob z.B. ein eingesetztes Plugin betroffen ist. Dann kann man direkt tätig werden. Gibt es für ein betroffenes Plugin kein Update, da z.B. die Weiterentwicklung eingestellt wurde, sollte man einen WordPress Sicherheitsexperten aufsuchen oder das Plugin löschen bzw. austauschen.

Aus diesem Grund haben wir es uns zur Aufgabe gemacht, einmal pro Monat alle bekannten Sicherheitslücken hier im Blog zu melden. Die Daten stammen dabei von WPScan, einer WordPress Sicherheits-Datenbank, auch bekannt als WordPress Vulnerability Database.

WordPress Sicherheitslücken

Sicherheitslücken in WordPress Plugins

Diese Plugins sind im Monat September 2020 von Sicherheitslücken betroffen und sollten daher aktualisiert oder gelöscht werden.

Aufbau der Liste: Plugin Name < Version – Art der Sicherheitslücke

  • Slider by 10Web < 1.2.36 – Multiple Authenticated SQL Injection
  • WP Courses < 2.0.29 – Broken Access Controls leading to Courses Content Disclosure
  • Simple:Press < 6.6.1 – Broken Access Control leading to RCE
  • XCloner Backup and Restore < 4.2.153 – Cross-Site Request Forgery
  • XCloner Backup and Restore 4.2.1 – 4.2.12 – Unprotected AJAX Action
  • Drag and Drop Multiple File Upload – Contact Form 7 < 1.3.5.5 – Unauthenticated Remote Code Execution
  • Discount Rules for WooCommerce < 2.2.1 – Multiple Authorization Bypass
  • MetaSlider < 3.17.2 – Authenticated Stored Cross-Site Scripting (XSS)
  • Multiple Plugins/Themes – Cross-Site Request Forgery (CSRF)
  • Affiliate Manager < 2.7.8 – Unauthenticated Stored Cross-Site Scripting (XSS)
  • 10Web Social Post Feed < 1.1.27 – Authenticated SQL Injection
  • Email Subscribers & Newsletters < 4.5.6 – Unauthenticated email forgery/spoofing
  • Sticky Menu, Sticky Header (or anything!) on Scroll < 2.21 – CSRF & XSS
  • LearnPress < 3.2.7.3 – CSRF & XSS
  • Elementor Addon Elements < 1.6.4 – CSRF & XSS
  • Cookiebot < 3.6.1 – CSRF & XSS
  • Asset CleanUp: Page Speed Booster < 1.3.6.7 – CSRF & XSS
  • All In One WP Security & Firewall < 4.4.4 – CSRF & XSS
  • Absolutely Glamorous Custom Admin < 6.5.5 – CSRF & XSS
  • Advanced Database Cleaner < 3.0.2 – Authenticated SQL injection
  • ActiveCampaign < 8.0.2 – Cross-Site Request Forgery in Settings
  • Constant Contact Forms < 1.8.8 – Multiple Authenticated Stored XSS
  • NextScripts: Social Networks Auto-Poster < 4.3.18 – Insufficient Privilege Validation
  • File Manager < 6.9 – Arbitrary File Upload leading to RCE

Sicherheitslücken in WordPress Themes

Diese Themes sind im Monat September 2020 von Sicherheitslücken betroffen und sollten daher aktualisiert oder gelöscht werden.

Aufbau der Liste: Plugin Name < Version – Art der Sicherheitslücke

  • JobMonster < 4.6.6.1 – Directory Listing in Upload Folder
  • Multiple Plugins/Themes – Cross-Site Request Forgery (CSRF)


Sie benötigen eine WordPress Agentur? Wir stehen als Ihre Experten zur Verfügung. Treten Sie mit uns in Kontakt und vereinbaren Sie ein unverbindliches Beratungsgespräch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.