WordPress – Schwachstellen – Vulnerabilities 2019

Übersicht über aktuell bekannte Plugins/Themes mit Sicherheitsproblemen

WordPress - Aktuelle SicherheitslückenHier ist eine Auflistung aktueller „Vulnerabilities“ – (Sicherheitslücken) von WordPress-Plugins, WordPress-Themes und (selten) WordPress-Core selbst..

Wichtig: Diese WordPress-Sicherheitslücken wurden veröffentlicht und sind daher bekannt, auch in den Kreisen, die Ihnen und Ihrer WordPress-Seite schaden wollen.

Bitte prüfen Sie umgehend Ihre aktuelle WordPress-Installation(en) ob Plugins Ihrer Seite betroffen sind, und führen so bald als möglich ein Update auf die neueste Version durch.

Grundsätzlich gilt: Wenn zu WordPress, Ihrem Theme oder Plugins neuere Versionen existieren, wird Ihnen dies ja im WordPress-Dashboard angezeigt. Sie sollten dann eine Datensicherung vornehmen und die aktuellen Versionen installieren.

Wenn Sie dies 1 x pro Woche erledigen, sollten Hacker bei Ihrem WordPress-Blog oder Profi-Blog schlechte Karten haben.

Wenn auch Ihre Seite(n) betroffen sind, besteht die Gefahr, dass Hacker die Kontrolle über Ihre Seite übernehmen und u.U. nennenswerten Schaden zufügen. Sei es durch den Versand von Spams über Ihre Seite, oder auch durch einspielen von Schadscripten, die Ihre Besucher schädigen können.  Wird Google auf solche Schadscripte Ihrer Seite aufmerksam, wird in den Suchergebnissen vor dem Schadscript-Befall auf Ihrer Seite gewarnt!

Vulnerabilities vom 07.01.2019

WordPress <= 5.0 – Authenticated File Delete

WordPress <= 5.0 – Authenticated Cross-Site Scripting (XSS)

WordPress <= 5.0 – Cross-Site Scripting (XSS) that could affect plugins

WordPress <= 5.0 – User Activation Screen Search Engine Indexing

WordPress <= 5.0 – File Upload to XSS on Apache Web Servers

Import users from CSV with meta <= 1.12 – Import Cross-Site Scripting (XSS)

WooCommerce <= 3.5.0 – Authenticated Stored XSS

WP Job Manager <= 1.31.2 – Phar Deserialization

Adicon Server <= 1.2 – SQL Injection

Audio Record 1.0 – Arbitrary File Upload

WP AutoSuggest 0.24 – Unauthenticated SQL Injection

Baggage Freight Shipping Australia 0.1.0 – Unauthenticated Arbitrary File Upload

Google XML Sitemaps <= 4.0.9 – Authenticated Cross-Site Scripting (XSS)

Vulnerabilities vom 10.12.2018

Smush Image Compression and Optimization <= 2.9.1 – Authenticated Phar Deserialization

Download Advanced Custom Fields <= 5.7.7 – Authenticated Cross-Site Scripting (XSS)

WPForms <= 1.4.8 – Unauthenticated Cross-Site Scripting (XSS)

WooCommerce <= 3.4.5 – Authenticated Stored XSS

WooCommerce <= 3.4.5 – Authenticated Phar Deserialization

Vulnerabilities vom 07.12.2018

Social Sharing Plugin – Kiwi <= 2.0.10 – Update Any Option

Vulnerabilities vom 06.12.2018

PropertyHive <= 1.4.25 – Unvalidated Input to do_action()

All in One SEO Pack – Authenticated Stored Cross-Site Scripting (XSS)

WP Mail SMTP by WPForms <= 1.3.3 – Authenticated Stored Cross-Site Scripting (XSS)

Google Analytics by Monster Insights <= 7.1.0 – Authenticated Stored Cross-Site Scripting (XSS)

WPForms <= 1.4.7 – Authenticated Stored Cross-Site Scripting (XSS)

Redirection <= 3.6.2 – Cross-Site Request Forgery (CSRF)