Sicherheitslücken in WordPress Plugins sind leider keine Seltenheit. In dem beliebten Content-Management-System kann man zahlreiche Plugins einsetzen um die Features des bereits mächtigen Systems zu erweitern. Wir haben bereits in der Vergangenheit über diverse Sicherheitslücken in WordPress Plugins berichtet. Heute stehen zwei Plugins im Fokus. Vorweg genommen, es gibt für beide Plugins bereits ein Update. Wir raten dazu möglichst schnell über die WordPress Update-Funktion die aktuellen Versionen zu installieren.
Sicherheitslücken in WordPress Plugins
Werfen wir einen genaueren Blick auf die betroffenen Plugins. Die Sicherheitslücken beider Plugins werden als “kritisch” bewertet da die komplette Webseite übernommen werden kann. Betroffen sind rund 750.000 Webseiten welche diese Plugins einsetzen.
1. DSGVO-Plugin GDPR Cookie Consent
Das erste Plugin ist das vielseitig beliebte DSGVO Plugin GDPR Cookie Consent. Mit diesem Plugin kann man seine WordPress Seite für die Datenschutz-Grundverordnung der EU fit machen. Betroffen sind ca. 700.000 Webseiten welche dieses Plugin im Einsatz haben. Die kritische Sicherheitslücke des Plugins kann für eine persistente XSS-Attacke ausgenutzt werden. Die Schwachstelle ist ein AJAX Endpoint, der nur für Admins zugänglich sein sollte. Auf Grund von mangelnder Prüfung können aber auch authentifizierte Benutzer bzw. Angreifer darauf zugreifen und die Webseite kompromittieren. Eine genaue Erläuterung wie man die Schwachstellen ausnutzen könnte, wird von den Sicherheitsforschern von Nin TechNet auf deren Webseite beschrieben. Der Plugin Entwickler hat bereits reagiert und ein Update mit der Version 1.8.3 veröffentlicht.
2. Profile Builder
Das zweite Plugin mit einer Sicherheitslücke ist der Profile Builder (User Registration & User Profile – Profile Builder) von Cozmoslabs. Mit wenig Aufwand kann man über die Schwachstelle sich selbst zum Admin machen. So können Angreifer relativ schnell und einfach die komplette Webseite übernehmen. Die Sicherheitslücke wurde mit dem höchsten Score von 10 bewertet. Angriffe können hierbei direkt über das Internet stattfinden und sogar ohne Authentifizierung. Mit der aktuellen Version 3.1.1 soll die Schwachstelle geschlossen sein. Also auch hier gilt: “Updaten, updaten, updaten!” Alle vorherigen Versionen von 3.1.1 sollen laut Wordfence betroffen sein. Das Plugin ermöglicht es Benutzern Profile anzulegen und zu bearbeiten. Angreifer könnten auf Grund der Schwachstelle Eingaben in dafür nicht vorgesehene Felder abschicken. Laut Wordfence soll es bislang aber keine Attacken gegeben haben.
Secure Webhosting – Sicherheitslücken in WordPress Plugins schnell updaten?
Sicherheitslücken in WordPress Plugins möglichst sofort updaten? Die iKomm GmbH bietet als Managed Security Provider auch im Bereich des Secure Webhosting einige Pakete an. Gerade im WordPress-Hosting haben wir zahlreiche Sicherheitsfeatures in unsere Webhosting-Pakete inkludiert. Angefangen von automatischen Backups, automatischen Updates des WordPress Core-Systems sowie automatische Updates für Ihre installierten Plugins. Gerne erläutern wir Ihnen weitere Sicherheitsfeatures zu unseren Secure-Web-Hosting Paketen. Sprechen Sie uns an. Kontaktieren Sie uns telefonisch, per E-Mail oder füllen Sie schnell und einfach unser Kontaktformular aus. Unsere Techniker stehen Ihnen gerne jederzeit mit Rat und Tat zur Seite.
Bild von Kevin Phillips auf Pixabay
