Anfällige Plugins und Themes sind der Hauptgrund dafür, dass WordPress-Websites gehackt werden. Der wöchentliche WordPress-Schwachstellenbericht powered by WPScan behandelt aktuelle WordPress-Plugin-, Theme- und Core-Schwachstellen und was zu tun ist, wenn du eines der anfälligen Plugins oder Themes auf deiner Website einsetzt.
Jede Sicherheitslücke wird mit einem Schweregrad von Niedrig, Medium, Hoch, oder Kritisch. Die verantwortungsvolle Offenlegung und Meldung von Sicherheitslücken ist ein wesentlicher Bestandteil der Sicherheit der WordPress-Community. Bitte teile diesen Beitrag mit deinen Freunden, um die Nachricht zu verbreiten und WordPress für alle sicherer zu machen.!
WordPress Core-Schwachstellen
WordPress 5.9.2 wurde am 11. März 2022 als Sicherheits- und Wartungsversion mit 1 Fehlerbehebung und 3 Sicherheitskorrekturen veröffentlicht. Da es sich um eine Sicherheitsversion handelt, solltest du so schnell wie möglich auf WordPress 5.9.2 aktualisieren!
WordPress Kern
- Schwachstelle
- Prototyp-Verschmutzung in jQuery
- Gepatcht in Version
- 5.9.2
- Schweregrad
- Mittel
WordPress Kern
- Schwachstelle
- Contributor+ Gespeichertes Cross-Site Scripting
- Gepatcht in Version
- 5.9.2
- Schweregrad
- Hoch
WordPress Kern
- Schwachstelle
- Prototype Pollution über Gutenbergs WordPress/url-Paket
- Gepatcht in Version
- 5.9.2
- Schweregrad
- Mittel
WordPress Plugin Sicherheitslücken
In diesem Abschnitt werden die neuesten Sicherheitslücken in WordPress-Plugins aufgeführt. Zu jedem Plugin werden die Art der Sicherheitslücke, die aktiven Installationen, die Versionsnummer (falls gepatcht) und der Schweregrad angegeben.
WooCommerce

- Plugin
- WooCommerce
- Installationen
- 5,000,000+
- Schwachstelle
- Als bezahlt markierte Bestellungen (über PayPal Standard Gateway)
- Gepatcht in Version
- 6.3.1
- Schweregrad
- Niedrig
UpdraftPlus

- Plugin
- UpdraftPlus WordPress Backup Plugin
- Installationen
- 3,000,000+
- Schwachstelle
- Reflektiertes Cross-Site Scripting
- Gepatcht in Version
- 1.22.9
- Schweregrad
- Mittel
Gutenberg

- Plugin
- Gutenberg
- Installationen
- 300,000+
- Schwachstelle
- Contributor+ Stored Cross-Site Scripting; Prototype Pollution über das WordPress/url-Paket von Gutenberg
- Gepatcht in Version
- 12.7.2
- Schweregrad
- Hoch
Werbeeinblender

- Plugin
- Ad Inserter - Ad Manager & AdSense-Anzeigen
- Installationen
- 200,000+
- Schwachstelle
- Reflektiertes Cross-Site Scripting
- Gepatcht in Version
- 2.7.12
- Schweregrad
- Niedrig
MapPress Karten für WordPress

- Plugin
- MapPress Karten für WordPress
- Installationen
- 60,000+
- Schwachstelle
- Admin+ Datei-Upload zur Remote-Code-Ausführung
- Gepatcht in Version
- 2.73.13
- Schweregrad
- Mittel
Profile Builder

- Plugin
- Profile Builder - Benutzerprofil & Benutzerregistrierungsformulare
- Installationen
- 50,000+
- Schwachstelle
- Admin+ Gespeichertes Cross-Site Scripting
- Gepatcht in Version
- 3.6.8
- Schweregrad
- Niedrig
Amelia < 1.0.48 -

- Plugin
- Amelia - Events & Termine Buchungskalender
- Installationen
- 40,000+
- Schwachstelle
- Customer+ SMS Service Missbrauch und Offenlegung sensibler Daten; Customer+ Willkürliche Aktualisierung des Terminstatus
- Gepatcht in Version
- 1.0.49
- Schweregrad
- Mittel
Easy Social Icons
- Plugin
- Easy Social Icons
- Installationen
- 40,000+
- Schwachstelle
- Admin+ SQL Injection
- Gepatcht in Version
- 3.1.4
- Schweregrad
- Mittel
Google Pagespeed Insights

- Plugin
- Einblicke von Google PageSpeed
- Installationen
- 30,000+
- Schwachstelle
- Reflektiertes Cross-Site Scripting
- Gepatcht in Version
- 4.0.4
- Schweregrad
- Mittel
WP Block and Stop Bad Bots

- Plugin
- Block Bad Bots und Stop Bad Bots Crawler und Spiders und Anti Spam Schutz
- Installationen
- 10,000+
- Schwachstelle
- Unauthentifizierte SQLi
- Gepatcht in Version
- 6.88
- Schweregrad
- Hoch
Buchungspaket

- Plugin
- Booking Package - Terminbuchungs-Kalender-System
- Installationen
- 9,000+
- Schwachstelle
- Unauthentifizierte Offenlegung sensibler Daten
- Gepatcht in Version
- 1.5.29
- Schweregrad
- Hoch
Werbeeinblender
- Plugin
- Ad Inserter Pro
- Installationen
- Unbekannt
- Schwachstelle
- Reflektiertes Cross-Site Scripting
- Gepatcht in Version
- 2.7.12
- Schweregrad
- Niedrig
Mitgliederliste
- Plugin
- Mitgliederliste Plugin
- Installationen
- Unbekannt
- Schwachstelle
- Reflektiertes Cross-Site Scripting
- Gepatcht in Version
- 4.3.7
- Schweregrad
- Mittel
Ninja Forms Datei-Uploads Erweiterung
- Plugin
- Ninja Forms File Uploads Erweiterung
- Installationen
- Unbekannt
- Schwachstelle
- Unauthentifizierter, willkürlicher Dateiupload
- Gepatcht in Version
- 3.3.1
- Schweregrad
- Kritisch
Ninja Forms Datei-Uploads Erweiterung
- Plugin
- Ninja Forms Datei-Uploads Erweiterung
- Installationen
- Unbekannt
- Schwachstelle
- Unauthentifiziertes Stored Cross-Site Scripting
- Gepatcht in Version
- 3.3.13
- Schweregrad
- Hoch
Beiträge markieren
- Plugin
- Beiträge markieren
- Installationen
- Unbekannt
- Schwachstelle
- Admin+ Gespeichertes Cross-Site Scripting
- Gepatcht in Version
- 2.0.1
- Schweregrad
- Niedrig
WordPress-Plugin-Schwachstellen - kein bekannter Fix
Dieser Abschnitt enthält Plugin-Schwachstellen, für die keine Lösung bekannt ist. Bis ein Patch verfügbar ist, deinstalliere und lösche das Plugin sofort.
Dropdown-Menü-Widget
- Plugin
- Dropdown Menü Widget
- Schwachstelle
- Subscriber+ Arbitrary Settings Update auf Stored XSS
- Gepatcht in Version
- Kein Fix
- Schweregrad
- Mittel
Library File Manager
- Plugin
- Library File Manager
- Schwachstelle
- Subscriber+ Willkürliches Erstellen/Hochladen/Löschen von Dateien
- Gepatcht in Version
- Kein Fix
- Schweregrad
- Kritisch
KingComposer
- Plugin
- Seitenerstellung: KingComposer - Kostenloser Drag-and-Drop-Seitenersteller von King-Theme
- Schwachstelle
- Subscriber+ Gespeichertes Cross-Site Scripting
- Gepatcht in Version
- Kein Fix
- Schweregrad
- Mittel
FormBuilder
- Plugin
- FormBuilder
- Schwachstelle
- Gespeichertes Cross-Site Scripting über CSRF
- Gepatcht in Version
- Kein Fix
- Schweregrad
- Mittel
Material Design für Contact Form 7
- Plugin
- Material Design für Contact Form 7
- Schwachstelle
- Subscriber+ Arbitrary Settings Update führt zu DoS
- Gepatcht in Version
- Kein Fix
- Schweregrad
- Mittel
Weitere Updates für über 400 Plugins und Themes, die von der unsicheren Freemius-Version betroffen sind
Letzte Woche wurde entdeckt, dass viele Plugins und Themes eine unsichere Version des Freemius Frameworkdas verwendet wird, um die Upsell-Pfade von Free zu Pro zu unterstützen.
Zum Zeitpunkt dieses Berichts, sind über 400 Plugins und 25 Themes betroffen. Da die Liste so umfangreich ist, verlinken wir direkt auf die WPScan-Schwachstellenmeldung mit den neuesten Informationen zu den Patches.
Zu ergreifende Maßnahmen:
WordPress Theme Sicherheitslücken
In diesem Abschnitt werden die neuesten Sicherheitslücken in WordPress-Themes aufgelistet. Zu jedem Theme werden die Art der Sicherheitslücke, die aktiven Installationen, die Versionsnummer (falls gepatcht) und der Schweregrad angegeben.
Wie du deine WordPress-Website vor anfälligen Plugins und Themes schützt
Wie du aus diesem Bericht ersehen kannst, werden jede Woche viele neue Sicherheitslücken in WordPress-Plugins und -Themes bekannt. Wir wissen, dass es schwierig sein kann, über jede gemeldete Sicherheitslücke auf dem Laufenden zu bleiben, deshalb haben wir iThemes Security Pro Plugin kannst du ganz einfach sicherstellen, dass auf deiner Website kein Theme, Plugin oder eine WordPress-Kernversion mit einer bekannten Sicherheitslücke verwendet wird.
Hol dir iThemes Security Pro mit 24/7 Website-Sicherheitsüberwachung
iThemes Security Pro, unser WordPress Sicherheits-Pluginbietet mehr als 50 Möglichkeiten, deine Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress, der Zwei-Faktor-Authentifizierung, dem Brute-Force-Schutz, der Erzwingung von starken Passwörtern und mehr kannst du deiner Website zusätzliche Sicherheitsebenen hinzufügen.
iThemes Security Pro kaufen

Jede Woche stellt Michael Moore die WordPress Schwachstellenbericht um die Sicherheit deiner Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein großer Nerd und liebt es, alles über alte und neue Technologien zu lernen. Wenn er nicht arbeitet, trifft man Michael mit seiner Frau und seiner Tochter an, wo er liest oder Musik hört.
