Übersicht über aktuell bekannte Plugins/Themes mit Sicherheitsproblemen
Hier ist eine Auflistung aktueller „Vulnerabilities“ – (Sicherheitslücken) von WordPress-Plugins, WordPress-Themes und (selten) WordPress-Core selbst..
Wichtig: Diese WordPress-Sicherheitslücken wurden veröffentlicht und sind daher bekannt, auch in den Kreisen, die Ihnen und Ihrer WordPress-Seite schaden wollen.
Bitte prüfen Sie umgehend Ihre aktuelle WordPress-Installation(en) ob Plugins Ihrer Seite betroffen sind, und führen so bald als möglich ein Update auf die neueste Version durch.
Grundsätzlich gilt: Wenn zu WordPress, Ihrem Theme oder Plugins neuere Versionen existieren, wird Ihnen dies ja im WordPress-Dashboard angezeigt. Sie sollten dann eine Datensicherung vornehmen und die aktuellen Versionen installieren.
Wenn Sie dies 1 x pro Woche erledigen, sollten Hacker bei Ihrem WordPress-Blog oder Profi-Blog schlechte Karten haben.
Wenn auch Ihre Seite(n) betroffen sind, besteht die Gefahr, dass Hacker die Kontrolle über Ihre Seite übernehmen und u.U. nennenswerten Schaden zufügen. Sei es durch den Versand von Spams über Ihre Seite, oder auch durch einspielen von Schadscripten, die Ihre Besucher schädigen können. Wird Google auf solche Schadscripte Ihrer Seite aufmerksam, wird in den Suchergebnissen vor dem Schadscript-Befall auf Ihrer Seite gewarnt!
Vulnerabilities vom 07.01.2019
WordPress <= 5.0 – Authenticated File Delete
WordPress <= 5.0 – Authenticated Cross-Site Scripting (XSS)
WordPress <= 5.0 – Cross-Site Scripting (XSS) that could affect plugins
WordPress <= 5.0 – User Activation Screen Search Engine Indexing
WordPress <= 5.0 – File Upload to XSS on Apache Web Servers
Import users from CSV with meta <= 1.12 – Import Cross-Site Scripting (XSS)
WooCommerce <= 3.5.0 – Authenticated Stored XSS
WP Job Manager <= 1.31.2 – Phar Deserialization
Adicon Server <= 1.2 – SQL Injection
Audio Record 1.0 – Arbitrary File Upload
WP AutoSuggest 0.24 – Unauthenticated SQL Injection
Baggage Freight Shipping Australia 0.1.0 – Unauthenticated Arbitrary File Upload
Google XML Sitemaps <= 4.0.9 – Authenticated Cross-Site Scripting (XSS)
Vulnerabilities vom 10.12.2018
Smush Image Compression and Optimization <= 2.9.1 – Authenticated Phar Deserialization
Download Advanced Custom Fields <= 5.7.7 – Authenticated Cross-Site Scripting (XSS)
WPForms <= 1.4.8 – Unauthenticated Cross-Site Scripting (XSS)
WooCommerce <= 3.4.5 – Authenticated Stored XSS
WooCommerce <= 3.4.5 – Authenticated Phar Deserialization
Vulnerabilities vom 07.12.2018
Social Sharing Plugin – Kiwi <= 2.0.10 – Update Any Option
Vulnerabilities vom 06.12.2018
PropertyHive <= 1.4.25 – Unvalidated Input to do_action()
All in One SEO Pack – Authenticated Stored Cross-Site Scripting (XSS)
WP Mail SMTP by WPForms <= 1.3.3 – Authenticated Stored Cross-Site Scripting (XSS)
Google Analytics by Monster Insights <= 7.1.0 – Authenticated Stored Cross-Site Scripting (XSS)
WPForms <= 1.4.7 – Authenticated Stored Cross-Site Scripting (XSS)
Redirection <= 3.6.2 – Cross-Site Request Forgery (CSRF)