Die WordPress Sparkling Thememit mehr als 30.000 aktiven Installationen wurde eine Schwachstelle in einer nicht autorisierten Funktion behoben, die die Version 2.4.8 und darunter betrifft. Unauthenticated Function Injection CVSS v3.1: 7.3 (Hoch) Die Schwachstelle ist identisch mit der, die die wir gemeldet haben am 1. Oktober 2020, die 15 Themes betraf, die das Epsilon-Framework nutzen.In…
Am 7. Februar 2022 meldete uns der Sicherheitsforscher Cyku Hong von DEVCORE eine Sicherheitslücke, die er in WP Statistics, einem WordPress-Plugin, das auf über 600.000 Websites installiert ist, entdeckt hat. Diese Schwachstelle ermöglichte es nicht authentifizierten Angreifern, beliebige SQL-Abfragen auszuführen, indem sie sie an eine bestehende SQL-Abfrage anfügten. Auf diese Weise konnten sensible Informationen wie…
Am 15. Februar 2022 hat das Wordfence Threat Intelligence-Team eine reflektierte Cross-Site Scripting (XSS)-Schwachstelle im Header Footer Code Manager, einem WordPress-Plugin mit über 300.000 Installationen, aufgedeckt. Der Plugin-Herausgeber hat unseren ersten Kontakt schnell bestätigt und wir haben noch am selben Tag, dem 15. Februar 2022, die vollständigen Details der Offenlegung übermittelt. Eine gepatchte Version, 1.1.17,…
Hinweis: Dieser Artikel wurde aktualisiert, um zu verdeutlichen, dass der Hosting-Provider „Njalla“, über den der bösartige Datenverkehr geleitet wurde, seinen Sitz in Schweden und nicht in Finnland hat, obwohl die IP-Geolokalisierungsdaten darauf hindeuten, dass der Server, über den der Datenverkehr lief, in Finnland stehen könnte. Wir haben auch den Titel des Beitrags aktualisiert, um diese…
Am 11. November 2021 leitete das Wordfence Threat Intelligence Team den Prozess der verantwortlichen Offenlegung einer Schwachstelle ein, die wir in „Photoswipe Masonry Gallery“ entdeckt haben, einem WordPress-Plugin, das auf über 10.000 Websites installiert ist. Diese Schwachstelle ermöglicht es einem authentifizierten Angreifer, bösartiges JavaScript einzuschleusen, das immer dann ausgeführt wird, wenn ein Website-Administrator auf die…
Update: In einer früheren Version dieses Artikels hieß es, dass ein Angreifer seinen Angriff während eines laufenden Backups starten und den entsprechenden Zeitstempel erraten müsste, um ein Backup herunterzuladen. Seit der Veröffentlichung des Artikels haben wir festgestellt, dass es möglich ist, jederzeit ein vollständiges Protokoll mit einer Backup-Nonce und einem Zeitstempel zu erhalten, wodurch diese…
Am 4. Januar 2022 leitete das Wordfence Threat Intelligence Team den Prozess der verantwortlichen Offenlegung einer Schwachstelle ein, die wir in „Profile Builder – User Profile & User Registration Forms“ entdeckt haben, einem WordPress-Plugin, das auf über 50.000 WordPress-Websites installiert ist. Diese Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, eine Anfrage zu erstellen, die bösartiges…
Ähnlich wie bei Backups deines Computers, Telefons oder deiner Festplatte braucht auch eine WordPress-Website ein Backup, um Änderungen und Ergänzungen an den Dateien festzuhalten, die deine Website zum Funktionieren bringen. Um eine solide Backup-Strategie für deine WordPress-Website zu haben, musst du die verschiedenen Arten von Backups kennen, die du von deiner WordPress-Website machen kannst. Jede…
