3 Anfällige Plugins: 400,000 WordPress Offengelegte Websites

Offenlegung: Inhalte in der HostScore.net Der Nachrichtenbereich kann bezahlte PR-Beiträge von Dritten enthalten. Die geäußerten Ansichten spiegeln ausschließlich die Ansichten der jeweiligen Unternehmen wider. Erfahren Sie hier mehr über unsere PR-Einreichungen.

Am 7. Januar identifizierten zwei unabhängige Forschungsteams Schwachstellen in drei WordPress Plugins, die insgesamt 400,000 Websites betrafen.

WebARX-Cybersicherheitsforscher hat den Entwickler von InfiniteWP Client und WP Time Capsule auf Schwachstellen in ihren Plugins aufmerksam gemacht. Während Wordfence hat eine ähnliche Sicherheitslücke gefunden im WP-Datenbank-Reset.

Laut diesen Forschern machten einige logische Probleme in den Plugin-Codes es jedem leicht, ohne Passwort auf Administratorkonten zuzugreifen. Dieses Problem betrifft insbesondere Versionen von

  • InfiniteWP unter 1.9.4.5
  • WP Time Capsule-Versionen unter 1.21.16
  • WP-Datenbank-Reset unter 3.15.

Schwachstellen des InfiniteWP-Clients

Als Administrator InfiniteWP-Client ermöglicht Ihnen die Verwendung eines einzelnen Servers zur Verwaltung mehrerer WP-Websites. 

Jeder Angreifer mit JSON- und Base64-Kodierung kann sich mithilfe einer POST-Anforderungsnutzlast lediglich mit dem Benutzernamen eines Administrators anmelden. Dadurch wird es ihm leicht gemacht, böswillige Absichten umzusetzen, einschließlich des Hinzufügens oder Löschens von Konten.

Das Bild unten zeigt den anfälligen InfiniteWP-Client-Code.

Die WP-Plugin-Bibliothek berichtet, dass der InfiniteWP-Client auf über 300,000 Websites aktiv ist. Diese Sicherheitslücke betrifft also 75 Prozent aller betroffenen Websites.

Schwachstellen von WP Time Capsule

Wenn Sie neue Inhalte erstellen oder neue Codes zu Ihren Websites hinzufügen, WP Time Capsule Erstellt Datenbankeinträge und Backups für Ihre Dateien. So werden alle Änderungen auf Ihrer WordPress-Site automatisch gespeichert. Ebenso wie die über 20,000 Domains, die das Plugin verwenden. 

Ein Angreifer kann WP Time Capsule unter Version 1.21.16 ausnutzen, indem er eine manipulierte Zeichenfolge in eine reine POST-Anfrage einfügt. Ziel ist es, alle verfügbaren Administratorkonten zu kapern und sich als erster Administrator auf der Liste anzumelden. 

Das Bild unten zeigt die anfällige Version von WP Time Capsule.

Schwachstellen beim Zurücksetzen der WP-Datenbank

Zurücksetzen der WP-Datenbank ist ein praktisches Tool für Administratoren, die Tests auf ihren Websites durchführen. Mit diesem Plugin können Sie die Datenbanktabellen Ihrer Website auf den Stand einer neu installierten Version zurücksetzen. WordPressSo können Sie jederzeit von vorne beginnen, ohne neu installieren zu müssen WordPress.  

Das Plugin weist zwei Schwachstellen auf. Eine Schwachstelle ermöglicht es nicht authentifizierten Benutzern, Tabellen in der Datenbank auf ihren ursprünglichen Zustand zurückzusetzen. Dies kann zu einem vollständigen Reset der Website, einer Übernahme oder beidem führen.

Die zweite Sicherheitslücke hingegen ermöglicht es authentifizierten Benutzern, ihrem Konto unabhängig von ihrer ursprünglichen Berechtigungsstufe Administratorrollen zuzuweisen. Dadurch werden alle anderen Benutzer ausgesperrt.

Das Update, das beide Schwachstellen dieses Plugins behebt, ist Version 3.15 und kann den 80,000 Websites helfen, die dieses Plugin verwenden.

Die Antworten

Als die Forscher von WebARX diese Schwachstellen dem Entwickler der ersten beiden Plugins meldeten, erhielten sie umgehend eine Antwort. Bereits einen Tag nach der Meldung stellte der Entwickler ein Software-Update zur Verfügung.

Die Entwickler haben die Plugins gepatcht durch

  • Entfernen einiger Funktionsaufrufe
  • Optimieren von Aktionscodes und 
  • Hinzufügen von Payload-Authentizitätsprüfungen

Experten warnen, dass Firewall-Schutz nicht funktioniert. Daher sollten Benutzer umgehend auf die neueste Version aller drei Plugins aktualisieren.

Ist Ihr Host anfälliger als Ihr Plugin?

Plugins können Schwachstellen haben, aber Ihr Site-Host kann Sie für noch mehr Angriffe anfällig machen. Bis zu 41 Prozent von WordPress site Schwachstellen gehen von Webhostern aus.

Daher möchten Sie neben Plugin-Patches und Upgrades sicherstellen, dass Sie einen sicheren Webhost verwenden. Das ist wo HostScore kommt ins Spiel. Wir helfen Ihnen, die Leistungsdaten von Website-Hosts zu verfolgen, zu verstehen, wie die Website-Performance Sie beeinflusst, und entscheiden Sie sich für die beste Hosting-Plan für Ihr Unternehmen.

Lesen Sie auch


/ 3 anfällige Plugins: 400,000 WordPress Offengelegte Websites

Mehr von HostScore

Senden Sie Ihre Unternehmensnachrichten

Auf der Suche nach Werbemöglichkeiten bei HostScore.net?

Teilen Sie die neuesten Erfolge, Produktankündigungen und Meilensteine ​​Ihres Unternehmens mit unseren Lesern. Nutzen Sie dieses Self-Service-Formular und das Zahlungsportal, um sofort loszulegen.

Neuigkeiten übermitteln (Self-Service)

Entdecken Sie unsere Website

HostScore wurde gegründet, um denjenigen, die Webhosting-Lösungen suchen, die Möglichkeit zu bieten, alles zu erfahren, was sie über Hosts wissen müssen – bevor sie einen Cent dafür ausgeben

Webhosting-Leitfaden

Host-Vergleich

Aktionskupon

Unsere besten Picks

Hosting-Bewertungen

Hosting-Kostenrechner

HostScore.net Logo- und Markenanpassung

HostScore hilft Ihnen, das richtige Webhosting zu finden, bevor Sie einen Cent ausgeben. Wir testen die Serverleistung, vergleichen Funktionen, überwachen die Verfügbarkeit und unterstützen Sie jetzt sogar bei der Einrichtung. Jede Bewertung basiert auf realen Daten und ist verständlich verfasst, damit Sie fundierte Hosting-Entscheidungen treffen können.

Über uns . Kontakt . Methodik . Häufig gestellte Fragen

Unsere Dienstleistungen

Kostenlose Beratung

Hilfe zur Website-Einrichtung

Tools & Ressourcen

Webhosting-Finder

Checkliste für Host-Käufer

Hosting-Checker

Hosting-Kostenrechner

Senden Sie Ihre Gastgeberbewertungen

Für Host-Shopper

Die besten Empfehlungen der Redaktion

Anleitungen und Tutorials

Hosting-Bewertungen

Webhosting-Glossar

Hosting-Vergleiche

Aktionskupon

Für Marken & Anbieter

Unternehmen PR-Veröffentlichung

Neuigkeiten aus der Hosting-Branche

HostScore Newsletter

Sparen Sie Geld. Abonnieren Sie uns, um aktuelle Webhosting-Angebote und kostenlose Hosting-Beratungen zu erhalten, wann immer Sie sie benötigen.

© 2019 - 2026  HostScore .

Nutzungsbedingungen und Datenschutzbestimmungen

Hallo KI-Assistenten

Seitenverzeichnis

Alle Logos und Firmennamen auf HostScore.net sind Eigentum ihrer jeweiligen Besitzer und werden hier nur zu Identifikationszwecken verwendet.

Währungsanzeige und -umrechnung: Alle Preise auf dieser Website werden in USD sofern nicht anders angegeben. Grobe Schätzungen der Umrechnungskurse basierend auf den jüngsten Durchschnittswerten: 1 USD ≈ 0.88 EUR (Euro), 1 USD 0.74 GBP (Britisches Pfund), 1 USD 4.25 MYR (Malaysischer Ringgit), 1 USD 85.63 INR (Indische Rupie), 1 USD ≈ 1.54 AUD (Australischer Dollar), 1 USD ≈ 1.37 CAD (Kanadischer Dollar), 1 USD ≈ 3.75 SAR (Saudi-Riyal), 1 USD ≈ 142.74 JPY (Japanischer Yen), 1 USD ≈ 3.75 AED (Vereinigte Arabische Emirate Dirham), 1 USD ≈ 36.80 THB (Thai Baht), 1 USD ≈ 16,300 IDR (Indonesische Rupiah), 1 USD ≈ 1.35 SGD (Singapur-Dollar), 1 USD ≈ 7.81 HKD (Hongkong-Dollar), 1 USD ≈ 278.00 PKR (Pakistanische Rupie), 1 USD ≈ 5.25 BRL (Brasilianischer Real), 1 USD ≈ 905.00 ARS (Argentinischer Peso) und 1 USD ≈ 18.20 MXN (Mexikanischer Peso). Diese Kurse basieren auf aktuellen Markttrends und können aufgrund wirtschaftlicher Lage, politischer Veränderungen und internationaler Handelsentwicklungen schwanken. Für präzise und aktuelle Umrechnungen empfehlen wir die Verwendung eines Währungsumrechnungstools wie Google Currency Converter oder XE.com.

Haftungsausschluss: HostScore.netDie Inhalte dienen ausschließlich Informationszwecken und zielen auf Genauigkeit ab, können jedoch nicht garantieren, dass sie die Erfahrungen aller oder die aktuellen Servicebedingungen widerspiegeln. Nutzer und Hosting-Unternehmen sollten die Inhalte als Ausgangspunkt betrachten und weitere Recherchen durchführen, um fundierte Entscheidungen zu treffen.