Jetzt anrufen
Kontakt aufnehmen
Kostenlose Webseiten Analyse
WordPress Experten gesucht?

Sie planen einen Webseiten-Relaunch mit WordPress oder WooCommerce? Sie suchen einen Experten für SEO oder die technische Wartung? Vereinbaren Sie einen kostenlosen und unverbindlichen Beratungstermin.

Unverbindliches Beratungsgespräch

WordPress: Aktuelle Sicherheitslücken im Überblick

  • Home
  • Blog
  • WordPress: Aktuelle Sicherheitslücken im Überblick
Sicherheit
WordPress: Aktuelle Sicherheitslücken im Überblick

Hier finden sich alle aktuellen Sicherheitslücken von WordPress, Plugins und Themes, die im laufenden Monat bekannt wurden. Wer hinsichtlich der Sicherheit in der WordPress-Welt immer auf dem Laufenden sein möchte, sollte am besten einmal pro Monat hier vorbeischauen.

WordPress ist das meist genutzte Content Management System der Welt. Dementsprechend ist das System natürlich gefundenes Fressen für Angreifer. Dafür gilt WordPress aber auch als äußert sicher. Wen man im Rahmen einer WordPress Wartung regelmäßig alle (Sicherheits-)Updates einspielt und Plugins oder Themes mit Bedacht auswählt, gibt es kaum etwas zu befürchten.

Dennoch ist es natürlich so, dass sich von Zeit zu Zeit Sicherheitslücken einschleichen können — zum Beispiel in Plugins. Das geschieht in der Regel durch Unachtsamkeit in der Programmierung. Das gilt übrigens nicht nur für WordPress oder WordPress Plugins, sondern auch für alle anderen Content Management Systeme. Ein großer Vorteil von WordPress: Durch die internationale, riesige Entwickler-Community werden Sicherheitsprobleme oftmals schnell entdeckt, gemeldet und entsprechend mit einem Update geschlossen.

Dennoch ist es natürlich sinnvoll, wenn man weiß, ob z.B. ein eingesetztes Plugin betroffen ist. Dann kann man direkt tätig werden. Gibt es für ein betroffenes Plugin kein Update, da z.B. die Weiterentwicklung eingestellt wurde, sollte man einen WordPress Sicherheitsexperten aufsuchen oder das Plugin löschen bzw. austauschen.

Aus diesem Grund haben wir es uns zur Aufgabe gemacht, einmal pro Monat alle bekannten Sicherheitslücken hier im Blog zu melden. Die Daten stammen dabei von WPScan, einer WordPress Sicherheits-Datenbank, auch bekannt als WordPress Vulnerability Database.

WordPress Sicherheitslücken

Sicherheitslücken in WordPress Plugins

Diese Plugins sind im Monat November 2020 von Sicherheitslücken betroffen und sollten daher aktualisiert oder gelöscht werden.

Aufbau der Liste: Plugin Name < Version – Art der Sicherheitslücke

  • BuddyPress < 6.4.0 – Lack of Capability Check on Profile Page
  • WP Google Map Plugin <= 4.1.3 – Authenticated SQL Injection
  • WPJobBoard < 5.7.0 – Unauthenticated SQL Injection
  • WPJobBoard < 5.7.0 – Unauthenticated Reflected XSS & XFS
  • Media Library Assistant < 2.90 – Authenticated Blind SQL Injection
  • Secure File Manager – Authenticated Remote Command Execution
  • WooCommerce Anti-Fraud <= 3.2 – Unauthenticated Order Status Manipulation
  • Anti-Spam by CleanTalk < 5.149 – Multiple Authenticated SQL Injections
  • Weforms <= 1.4.7 – CSV Injection
  • Easy Registration Forms <= 2.0.6 – CSV Injection
  • Import and export users and customers < 1.16.3.6 – CSV Injection
  • Contextual Related Posts < 2.9.4 – CSRF Nonce Validation Bypass
  • Fancy Product Designer < 4.5.1 – Unauthenticated Stored Cross-Site Scripting
  • [0day] AIT CSV Import / Export <= 3.0.3 – Unauthenticated Arbitrary File Upload
  • BA Book Everything < 1.3.25 – Unauthenticated Reflected XSS & XFS
  • Good LMS < 2.1.5 – Unauthenticated SQL Injection
  • Ultimate Reviews < 2.1.33 – Unauthenticated PHP Object Injection
  • Ultimate Member < 2.1.12 – Unauthenticated Privilege Escalation via User Meta
  • Ultimate Member < 2.1.12 – Authenticated Privilege Escalation via Profile Update
  • Ultimate Member < 2.1.12 – Unauthenticated Privilege Escalation via User Roles
  • Abandoned Cart Lite for WooCommerce < 5.8.3 – Unauthenticated SQL Injection
  • WooCommerce Blocks < 3.7.1 – Guest Account Creation
  • WooCommerce < 4.6.2 – Guest Account Creation
  • Welcart e-Commerce < 1.9.36 – Authenticated PHP Object Injection
  • Augmented Reality <= 1.2.0 – Unauthenticated PHP File Upload leading to RCE
  • GDPR CCPA Compliance Support < 2.4 – Unauthenticated PHP Object Injection
  • WP Activity Log < 4.1.5 – SQL Injection in External Database Module
  • AccessPress Social Icons < 1.8.1 – Authenticated SQL Injection

Diese Plugins sind im Monat September 2020 von Sicherheitslücken betroffen und sollten daher aktualisiert oder gelöscht werden.

  • Slider by 10Web < 1.2.36 – Multiple Authenticated SQL Injection
  • WP Courses < 2.0.29 – Broken Access Controls leading to Courses Content Disclosure
  • Simple:Press < 6.6.1 – Broken Access Control leading to RCE
  • XCloner Backup and Restore < 4.2.153 – Cross-Site Request Forgery
  • XCloner Backup and Restore 4.2.1 – 4.2.12 – Unprotected AJAX Action
  • Drag and Drop Multiple File Upload – Contact Form 7 < 1.3.5.5 – Unauthenticated Remote Code Execution
  • Discount Rules for WooCommerce < 2.2.1 – Multiple Authorization Bypass
  • MetaSlider < 3.17.2 – Authenticated Stored Cross-Site Scripting (XSS)
  • Multiple Plugins/Themes – Cross-Site Request Forgery (CSRF)
  • Affiliate Manager < 2.7.8 – Unauthenticated Stored Cross-Site Scripting (XSS)
  • 10Web Social Post Feed < 1.1.27 – Authenticated SQL Injection
  • Email Subscribers & Newsletters < 4.5.6 – Unauthenticated email forgery/spoofing
  • Sticky Menu, Sticky Header (or anything!) on Scroll < 2.21 – CSRF & XSS
  • LearnPress < 3.2.7.3 – CSRF & XSS
  • Elementor Addon Elements < 1.6.4 – CSRF & XSS
  • Cookiebot < 3.6.1 – CSRF & XSS
  • Asset CleanUp: Page Speed Booster < 1.3.6.7 – CSRF & XSS
  • All In One WP Security & Firewall < 4.4.4 – CSRF & XSS
  • Absolutely Glamorous Custom Admin < 6.5.5 – CSRF & XSS
  • Advanced Database Cleaner < 3.0.2 – Authenticated SQL injection
  • ActiveCampaign < 8.0.2 – Cross-Site Request Forgery in Settings
  • Constant Contact Forms < 1.8.8 – Multiple Authenticated Stored XSS
  • NextScripts: Social Networks Auto-Poster < 4.3.18 – Insufficient Privilege Validation
  • File Manager < 6.9 – Arbitrary File Upload leading to RCE

Sicherheitslücken in WordPress Themes

Diese Themes sind im Monat November 2020 von Sicherheitslücken betroffen und sollten daher aktualisiert oder gelöscht werden.

Aufbau der Liste: Plugin Name < Version – Art der Sicherheitslücke

  • Wibar <= 1.1.8 – Authenticated Stored Cross-Site Scripting
  • Love Travel 2.0-3.8 – Unauthenticated Reflected XSS & XFS
  • Love Travel < 2.0 – Unauthenticated Reflected XSS & XFS

Diese Themes sind im Monat September 2020 von Sicherheitslücken betroffen und sollten daher aktualisiert oder gelöscht werden.

  • JobMonster < 4.6.6.1 – Directory Listing in Upload Folder
  • Multiple Plugins/Themes – Cross-Site Request Forgery (CSRF)

Sie benötigen eine WordPress Agentur? Wir stehen als Ihre Experten zur Verfügung. Treten Sie mit uns in Kontakt und vereinbaren Sie ein unverbindliches Beratungsgespräch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ähnliche Artikel
Nutzer aus REST API Endpunkt entfernen (/wp-json/wp/v2/users)

Die WordPress REST API ist ein leistungsstarkes Feature, das die Kommunikation mit einer WordPress-Website über externe Anwendungen ermöglicht. Standardmäßig stellt sie jedoch auch sensible...
mehr lesen

FTP vs. SFTP: Die Unterschiede erklärt

In der Welt des Webhosting sind Begriffe wie FTP und SFTP gängig, doch nicht jede:r weiß direkt, wobei es sich hierbei handelt – geschweige...
mehr lesen

Honeypot: Was ist das?

Angriffe auf IT-Systeme sind keine Phänomene der letzten Jahre, in der die Digitalisierung Rekord-artig anstieg. Schon seit den frühen 1990er Jahren lässt sich diese...
mehr lesen

WordPress von HTTP auf HTTPS (SSL) umstellen

HTTPS ist inzwischen Standard im Internet. Das gilt natürlich auch für Webseiten auf WordPress Basis. In diesem Artikel zeigen wir daher, wie man WordPress...
mehr lesen

Internetagentur Kreativdenker GmbH 36 Bewertungen auf ProvenExpert.com