Am 17. Februar 2022 wurde UpdraftPlus, ein WordPress-Plugin mit über 3 Millionen Installationen, mit einem Sicherheitsfix für eine vom Sicherheitsforscher Marc Montpas entdeckte Schwachstelle aktualisiert. Diese Schwachstelle ermöglicht es jedem angemeldeten Benutzer, einschließlich Benutzern auf Abonnentenebene, Backups herunterzuladen, die mit dem Plugin erstellt wurden. Backups sind eine Fundgrube sensibler Informationen und enthalten häufig Konfigurationsdateien, die für den Zugriff auf die Site-Datenbank sowie den Inhalt der Datenbank selbst verwendet werden können.
Klicken Sie auf den unteren Button, um den Inhalt von www.wordfence.com zu laden.
Wordfence berichtet, dass sie in den letzten Tagen eine massive Angriffswelle entdeckt wurde, die von 16.000 IPs ausging und auf über 1,6 Millionen WordPress-Sites abzielte. Die Akteure zielen auf vier WordPress-Plugins und fünfzehn Epsilon-Framework-Themes ab, von denen eines keinen verfügbaren Patch hat.
Einige der anvisierten Plugins wurden bereits im Jahr 2018 gepatcht, während bei anderen ihre Schwachstellen erst in dieser Woche behoben wurden.
Die betroffenen Plugins sind:
PublishPress-Funktionen
Kiwi Social Plugin
Pinterest Automatisch
WordPress-Automatik
„In den meisten Fällen aktualisieren die Angreifer die Option users_can_register auf aktiviert und setzen die Option default_role auf Administrator “, erklärt Wordfence .
„Dadurch ist es Angreifern möglich, sich auf jeder Site als Administrator zu registrieren, der die Site effektiv übernimmt.“
Überprüfen, aktualisieren, reinigen
Um zu überprüfen, ob Ihre Website bereits kompromittiert wurde, können Sie alle Benutzerkonten überprüfen und nach betrügerischen Ergänzungen suchen, die sofort entfernt werden sollten.
Überprüfen Sie als Nächstes die Einstellungen der Site unter „http://examplesite[.]com/wp-admin/options-general.php“ und achten Sie auf die Einstellung „Mitgliedschaft“ und „Standardrolle des neuen Benutzers“.
Beachten Sie, dass die Aktualisierung der Plugins die Bedrohung nicht beseitigt, wenn Ihre Website bereits kompromittiert wurde. In diesem Fall wird empfohlen, zuerst die Anweisungen in den ausführlichen Reinigungsanleitungen zu befolgen .
Bitte aktualisieren Sie, wenn Sie die Versionen 2.0 bis 2.3 verwenden
Das WordPress-Team hat alle Websites, die diese Versionen verwenden, automatisch aktualisiert.
Wir entschuldigen uns für dieses Problem.
Bitte überprüfen Sie, ob Ihre Site PublishPress Capabilities Version 2.3.1 oder höher verwendet.
Wenn Sie diese früheren Versionen verwendet haben, überprüfen Sie bitte die Sicherheit Ihrer Site. Der häufigste Indikator für ein Problem ist ein neuer Benutzer, der am 7. oder 8. Dezember 2021 erstellt wurde. Dieser Thread enthält einige Berichte, in denen beschrieben wird, was andere Benutzer gefunden haben: https://wordpress.org/support/topic/recent-security- Ausgabe-2/
WordPress ist eine Open-Source-Software, die in mehr als einem Viertel der Websites benutzt wird. Die Sicherheit von Plugins ist ein wichtiges Anliegen für WordPress-Benutzer. Plugins sind Add-Ons von Drittanbietern, die die Funktionen von WordPress um Möglichkeiten wie robustere Kommentarsysteme oder die Integration von sozialen Medien erweitern.
Plugin-Updates sind für die Aufrechterhaltung der Sicherheit Ihrer Website von entscheidender Bedeutung. Wenn Sie Ihre Plugins nicht aktualisieren, können Hacker auf sie abzielen, um nach Schwachstellen zu suchen, die sie ausnutzen können, um die Kontrolle über Ihre Website zu übernehmen.
Um auf der sicheren Seite zu bleiben, sollten sie regelmäßig nach Plugin-Updates suchen und diese installieren, sobald sie im WordPress-Dashboard aufgelistet werden. Sie sollten auch allen Plugin-Update-Warnungen, die auf Ihrem Dashboard angezeigt werden, Aufmerksamkeit schenken.
WordPress-Sicherheits-Plugin Hide My WP behebt SQL-Injection, Deaktivierungsfehler
Hide My WP, ein beliebtes WordPress- Sicherheits-Plugin, enthielt eine schwerwiegende SQL-Injection (SQLi)-Schwachstelle und eine Sicherheitslücke, die es nicht authentifizierten Angreifern ermöglichte, die Software zu deaktivieren.
Die jetzt gepatchten Fehler wurden bei einem Audit mehrerer Plugins auf der Website eines Kunden von Dave Jong, CTO von Patchstack , entdeckt , das WordPress-Websites vor Schwachstellen schützt und eine auf WordPress ausgerichtete Bug-Hunting-Plattform betreibt.
Der SQLi „ist ziemlich streng“, sagte Jong gegenüber The Daily Swig . „Es erlaubt jedem, Informationen aus der Datenbank zu extrahieren, es gibt keine Voraussetzungen. Ein Tool wie SQLmap könnte diese Schwachstelle leicht ausnutzen.“
In einer Mitteilung an die Securities and Exchange Commission (SEC) sagte Demetrius Comes, Sicherheitschef von GoDaddy, dass er unbefugten Zugriff auf von GoDaddy verwalteten WordPress-Server entdeckt wurden. Betroffen sind neben E-Mail-Adresse der Kunden auch Kundennummer, Passwort sowie weitere Daten wie sFTP- und Datenbank-Benutzernamen und -Passwörter.
Komplette Übernahme der WordPress-Site eine echte Möglichkeit, warnen Experten!
Laut dem Wordfence Threat Intelligence-Team ermöglichte eine Schwachstelle im Plugin Starter Templates – Elementor, Gutenberg & Beaver Builder Templates Benutzern auf Contributor-Ebene, jede Seite der Website vollständig zu überschreiben und bösartiges JavaScript nach Belieben einzubetten.
Die Schwachstelle wurde am 4. Oktober entdeckt und drei Tage später, am 7. Oktober, gepatcht. Allen Benutzern (insbesondere denjenigen, die die Versionen 2.7.0 und älter verwenden) wird nun empfohlen, das Plugin mindestens auf Version 2.7.5 zu aktualisieren.
Das WordPress-Plugin ermöglicht es Website-Besitzern, vorgefertigte Vorlagen für andere Website-Builder wie Elementor zu integrieren. Für Sites, auf denen dieser Builder installiert ist, erläutert Wordfence ein Beispiel, bei dem es Benutzern mit der Funktion edit_post (z. B. Mitwirkenden) möglich war, Blöcke auf den Seiten über die AJAX-Aktion astra-page-elementor-batch-process zu importieren.
Neueste Kommentare