Sofort aktualisieren – Plugin Hide My WP

Sofort aktualisieren – Plugin Hide My WP

WordPress-Sicherheits-Plugin Hide My WP behebt SQL-Injection, Deaktivierungsfehler

Hide My WP, ein beliebtes WordPress- Sicherheits-Plugin, enthielt eine schwerwiegende SQL-Injection (SQLi)-Schwachstelle und eine Sicherheitslücke, die es nicht authentifizierten Angreifern ermöglichte, die Software zu deaktivieren.

Die jetzt gepatchten Fehler wurden bei einem Audit mehrerer Plugins auf der Website eines Kunden von Dave Jong, CTO von Patchstack , entdeckt , das WordPress-Websites vor Schwachstellen schützt und eine auf WordPress ausgerichtete Bug-Hunting-Plattform betreibt.

Der SQLi „ist ziemlich streng“, sagte Jong gegenüber The Daily Swig . „Es erlaubt jedem, Informationen aus der Datenbank zu extrahieren, es gibt keine Voraussetzungen. Ein Tool wie SQLmap könnte diese Schwachstelle leicht ausnutzen.“

Bitte das Plugin unverzüglich aktualisieren!

Sofort aktualisieren – Plugin Hide My WP

Über eine Million WordPress-Sites bei GoDaddy betroffen

GoDaddy, das weltweit führende Webhosting-Unternehmen, dass Daten von 1,2 Millionen seiner WordPress-Kunden offengelegt wurden. 22. November 2021

In einer Mitteilung an die Securities and Exchange Commission (SEC) sagte Demetrius Comes, Sicherheitschef von GoDaddy, dass er unbefugten Zugriff auf von GoDaddy verwalteten WordPress-Server entdeckt wurden. Betroffen sind neben E-Mail-Adresse der Kunden auch Kundennummer, Passwort sowie weitere Daten wie sFTP- und Datenbank-Benutzernamen und -Passwörter.

Sofort aktualisieren – Plugin Hide My WP

Eine Million WordPress-Sites sind aufgrund von Plugin-Schwachstellen gefährdet

Komplette Übernahme der WordPress-Site eine echte Möglichkeit, warnen Experten!

Laut dem Wordfence Threat Intelligence-Team ermöglichte eine Schwachstelle im Plugin Starter Templates – Elementor, Gutenberg & Beaver Builder Templates Benutzern auf Contributor-Ebene, jede Seite der Website vollständig zu überschreiben und bösartiges JavaScript nach Belieben einzubetten.

Die Schwachstelle wurde am 4. Oktober entdeckt und drei Tage später, am 7. Oktober, gepatcht. Allen Benutzern (insbesondere denjenigen, die die Versionen 2.7.0 und älter verwenden) wird nun empfohlen, das Plugin mindestens auf Version 2.7.5 zu aktualisieren.

Das WordPress-Plugin ermöglicht es Website-Besitzern, vorgefertigte Vorlagen für andere Website-Builder wie Elementor zu integrieren. Für Sites, auf denen dieser Builder installiert ist, erläutert Wordfence ein Beispiel, bei dem es Benutzern mit der Funktion edit_post (z. B. Mitwirkenden) möglich war, Blöcke auf den Seiten über die AJAX-Aktion astra-page-elementor-batch-process zu importieren.

Den ganzen Artikel können Sie hier nachlesen.