Härtung von WooCommerce Infinite Scroll gegen Deserialisierung//Veröffentlicht am 2026-06-01//CVE-2025-11993

WP-FIREWALL-SICHERHEITSTEAM

WooCommerce Infinite Scroll Vulnerability

Plugin-Name WooCommerce Unendlicher Scroll
Art der Schwachstelle Deserialisierungsanfälligkeit
CVE-Nummer CVE-2025-11993
Dringlichkeit Hoch
CVE-Veröffentlichungsdatum 2026-06-01
Quell-URL CVE-2025-11993

Dringend: CVE-2025-11993 — PHP-Objektinjektion im WooCommerce Unendlicher Scroll (<= 1.8) — Was WordPress-Seitenbesitzer jetzt tun müssen

Datum: 2026-06-01
Autor: WP-Firewall-Sicherheitsteam
Kategorien: WordPress-Sicherheit, WooCommerce, Schwachstelle
Stichworte: CVE-2025-11993, Deserialisierung, PHP-Objektinjektion, WooCommerce, WAF, Vorfallreaktion

Zusammenfassung

Eine kritische Schwachstelle (CVE-2025-11993) wurde im WooCommerce Unendlicher Scroll und Ajax-Paginierungs-Plugin (Versionen <= 1.8) offengelegt. Das Problem ist eine Deserialisierung von nicht vertrauenswürdigen Daten (PHP-Objektinjektion), die von einem authentifizierten Benutzer mit Abonnentenrechten ausgenutzt werden kann. Die Schwachstelle hat einen CVSS-Score von 8.8 — hohe Schwere — und ist realistisch in der Wildnis ausnutzbar. Wenn sie ausgenutzt wird, kann dies zu einer Kompromittierung der Seite, Remote-Code-Ausführung, Datenexfiltration, Privilegieneskalation und vollständiger administrativer Übernahme führen.

Wenn Sie dieses Plugin auf einer WordPress-Seite verwenden, behandeln Sie dies als Notfall. Dieser Beitrag erklärt, was die Schwachstelle ist, wie Angreifer sie missbrauchen, praktische Erkennungs- und Milderungsschritte, die Sie sofort umsetzen können (einschließlich WAF-Regeln, die Sie bereitstellen können), und langfristige Härtungsrichtlinien. Wir erklären auch, wie Sie WP-Firewall verwenden können, um Ihre Seite zu schützen, während ein offizieller Patch noch nicht verfügbar ist.

Worin besteht die Schwachstelle?

  • Kennung: CVE-2025-11993
  • Betroffene Software: WooCommerce Unendlicher Scroll und Ajax-Paginierungs-Plugin — Versionen <= 1.8
  • Schwachstellenklasse: Deserialisierung von nicht vertrauenswürdigen Daten / PHP-Objektinjektion
  • Erforderliche Berechtigung: Authentifizierter Abonnent
  • CVSS (berichtet): 8.8 (Hoch)
  • Status bei Offenlegung: Zum Zeitpunkt der Veröffentlichung dieses Artikels ist noch kein offizieller Patch verfügbar.

Kurz gesagt: Das Plugin akzeptiert serialisierte PHP-Daten von authentifizierten Benutzern und übergibt sie an einen unsicheren unserialize()-Aufruf (oder führt anderweitig eine Deserialisierung durch, ohne die Daten zu validieren). Dies ermöglicht es einem Angreifer, der sich als Abonnent anmelden kann, serialisierte PHP-Objekte zu erstellen, die, wenn sie rekonstruiert werden, dazu führen, dass die PHP-Laufzeit gefährliche magische Methoden (zum Beispiel __wakeup(), __destruct()) aufruft oder Gadget-Ketten innerhalb von WordPress oder anderen Plugins/Themes nutzt, um beliebige Codeausführung oder Privilegieneskalation auszulösen.

Warum das gefährlich ist

Deserialisierungsanfälligkeiten sind in PHP besonders gefährlich, da serialisierte Zeichenfolgen Objekte beliebiger Klassen instanziieren können. Wenn diese Klassen magische Methoden enthalten, die Datei-, Datenbank- oder Systeminteraktionen durchführen, können Angreifer serialisierte Objekte erstellen, die ein Verhalten auslösen, das von der Anwendung nicht beabsichtigt ist. Häufige Folgen sind:

  • Remote-Code-Ausführung (RCE), die zur vollständigen Übernahme der Seite führt
  • Erstellung von Admin-Benutzern oder Modifikation bestehender Konten
  • Hochladen oder Ausführen von Web-Shells und Hintertüren
  • Datendiebstahl (Benutzerdaten, Bestellungen, Zahlungstoken)
  • Seitenverunstaltung oder Einbeziehung in Massenangriffskampagnen
  • Laterale Bewegung und Persistenz in der Hosting-Umgebung

Was CVE-2025-11993 praktisch macht, ist, dass ein authentifiziertes Abonnenten-Konto ausreicht. Viele WooCommerce-Seiten erlauben Benutzerregistrierungen oder haben Kundenkonten, was bedeutet, dass Angreifer massenhaft registrieren und versuchen können, in großem Maßstab auszunutzen.

Wie Angreifer typischerweise diese Art von Schwachstelle ausnutzen

  1. Registrieren Sie viele Konten (wenn die Registrierung offen ist) oder erlangen Sie Abonnenten-Zugriff durch Social Engineering / Credential Stuffing.
  2. Identifizieren Sie den anfälligen Endpunkt (oft ein AJAX-Endpunkt, REST-Routen oder plugin-spezifisches Formular), der serialisierte Daten akzeptiert.
  3. Erstellen Sie serialisierte Payloads, die Muster zur Instanziierung von PHP-Objekten enthalten (z. B. O:…-Strings). Payloads zielen auf Klassen ab, die in der Umgebung existieren (WordPress-Kern, andere Plugins oder das Plugin selbst) mit magischen Methoden, die sensible Aktionen ausführen.
  4. Reichen Sie Payloads über POST-Anfragen an den Endpunkt ein. Wenn unserialize() ungeschützt aufgerufen wird, stellt PHP das Objekt wieder her und ruft alle magischen Methoden auf.
  5. Erreichen Sie ein böswilliges Ergebnis (RCE, Privilegieneskalation, Datei schreiben usw.).

Großangelegte Kampagnen folgen oft automatisierten Skripten, die versuchen, gängige Gadget-Ketten zu verwenden. Die Tatsache, dass Abonnentenkonten ausreichen, bedeutet, dass selbst Benutzer mit niedrigen Rechten bewaffnet werden können.

Sofortige Erkennung: Worauf man achten sollte

Wenn Sie verdächtige Versuche oder Kompromittierungen vermuten, beginnen Sie mit der Überprüfung:

  • Webserver-Protokolle auf POST-Anfragen an admin-ajax.php oder plugin-spezifische Endpunkte von angemeldeten Benutzern mit Abonnentenverhalten.
  • Anfragen, die Muster von serialisierten Payloads enthalten: Regex-Übereinstimmungen für O:\d+: oder C: oder unerwartet lange serialisierte Strings in POST-Inhalten.
  • Verdächtige neue Benutzer (massenerstellte Abonnentenkonten mit aufeinanderfolgenden E-Mails).
  • Ungewöhnliche Aktivitäten von normalen Benutzern: Passwortzurücksetzereignisse, Käufe mit ungewöhnlichen Metadaten, plötzliche Änderungen an Benutzermetadaten.
  • Dateiänderungen in wp-content/uploads, wp-content/plugins und Kern-PHP-Dateien. Überprüfen Sie Zeitstempel und unbekannte Dateien (insbesondere .php-Dateien).
  • Geänderte Cron-Jobs, unbekannte geplante Ereignisse (wp_options-Cron-Einträge) oder Ergänzungen zu mu-Plugins.
  • Ausgehende Verbindungen von der Seite (wenn das Hosting Protokolle zulässt), insbesondere zu verdächtigen Domains/IPs.

Beispiel für schnelles Grep (in einer Shell mit Zugriff auf Protokolle oder Plugin-Code):

# Durchsuchen Sie das Plugin-Verzeichnis nach unsicheren Verwendungen von unserialize

Sofortige Maßnahmen zur Minderung (Prioritätsreihenfolge)

  1. Machen Sie jetzt einen Snapshot / Backup der Seite (Dateien + Datenbank). Wenn die Seite kompromittiert ist, benötigen Sie eine unveränderliche Kopie für die forensische Analyse.
  2. Wenn Sie dies sicher tun können, deaktivieren Sie vorübergehend das anfällige Plugin. Dies ist die zuverlässigste Minderung.
    • WP-Dashboard: Plugins → WooCommerce Infinite Scroll deaktivieren
    • WP-CLI: 
      wp plugin deaktivieren sb-woocommerce-infinite-scroll
  3. Wenn Sie nicht deaktivieren können (aufgrund von Einschränkungen der Seite), beschränken Sie den Zugriff:
    • Deaktivieren Sie die öffentliche Registrierung, wenn sie aktiviert ist.
    • Beschränken Sie die Website vorübergehend auf angemeldete Benutzer nach Rolle (oder nur auf Administratoren).
  4. Erzwingen Sie die erneute Authentifizierung und setzen Sie kritische Anmeldeinformationen zurück:
    • Setzen Sie alle Admin-Passwörter und hochprivilegierte Konten zurück.
    • Erzwingen Sie die Passwortzurücksetzung für Benutzer mit verdächtigen Aktivitäten.
    • Rotieren Sie API-Schlüssel und Anmeldeinformationen von Drittanbietern, die von der Website verwendet werden.
  5. Scannen Sie nach Anzeichen einer Kompromittierung (Web-Shells, verdächtige Dateien). Wenn gefunden, isolieren Sie die Website, nehmen Sie sie offline und fahren Sie mit der Bereinigung unter Verwendung eines bekannten sauberen Backups fort.
  6. Setzen Sie eine gezielte WAF-Regel in Kraft (siehe Abschnitt unten), um Ausnutzungsversuche gegen die anfälligen Endpunkte zu blockieren.
  7. Überwachen Sie die Protokolle genau auf wiederholte Muster, neue Benutzerregistrierungen und Änderungen geplanter Ereignisse.

Empfohlene WAF-Minderungsmaßnahmen (Regeln und Beispiele)

Wenn Sie das Plugin nicht sofort entfernen oder patchen können, kann das virtuelle Patchen mit WAF-Regeln Ausnutzungsversuche blockieren. Unten sind vorgeschlagene Regelideen und Beispiele für ModSecurity-Stilregeln. Bitte passen Sie sie an Ihre Umgebung an und testen Sie auf Fehlalarme.

Hochrangige Strategie:

  • Blockieren Sie POST-Inhalte, die serialisierte PHP-Objektmuster enthalten (O:\d+: enthalten:").
  • Blockieren oder fordern Sie Anfragen an plugin-spezifische AJAX- oder REST-Routen von authentifizierten Abonnenten an, wenn nicht erforderlich.
  • Erfordern Sie gültige Nonces für AJAX-Aktionen (wenn das Plugin diese nicht durchsetzt).
  • Begrenzen Sie die Rate und fordern Sie Aktionen von neuen Konten heraus.

Beispiel ModSecurity-Regel (konzeptionell):

# Blockieren Sie PHP-serialisierte Objekte im POST-Inhalt (verhindern Sie einfache Ausnutzungsversuche)"

Beispielregel für den Missbrauch von WordPress admin-ajax:

# Blockieren Sie verdächtige admin-ajax-Aufrufe, die serialisierte Objekte enthalten"

Beispielregel zum Blockieren eines plugin-spezifischen REST-Endpunkts (ersetzen Sie ihn durch die tatsächliche Route, wenn bekannt):

# Blockieren Sie den Zugriff auf den Plugin-Endpunkt, der serialisierte Daten akzeptiert"

Wichtige Implementierungsnotizen:

  • Diese Regeln sind defensiv und können falsche Positivmeldungen verursachen, wenn legitime Daten ‘O:...’ Strings enthalten (selten). Testen Sie sorgfältig in der Staging-Umgebung.
  • Verwenden Sie Ratenbegrenzung und Herausforderungen (CAPTCHA) für verdächtige Konten, anstatt sie in Hochrisiko-Falsch-Positiv-Szenarien vollständig zu blockieren.
  • Wenn Sie ein verwaltetes WAF verwenden, fordern Sie einen benutzerdefinierten virtuellen Patch mit diesen Indikatoren von Ihrem Sicherheitsteam an.

Kurze, defensive Heuristiken, die Sie zu WordPress hinzufügen können (schnelle Bereitstellung)

Wenn Sie ein kleines Plugin oder mu-Plugin hinzufügen können, um verdächtige POST-Nutzlasten zu blockieren, verwenden Sie diesen Ansatz. Dies ist eine pragmatische Übergangslösung — keine Behebung.

<?php
// mu-plugins/stop-serialized-objects.php
add_action('init', function() {
    if ( $_SERVER['REQUEST_METHOD'] !== 'POST' ) return;
    $body = file_get_contents('php://input');
    if ( ! $body ) return;
    if ( preg_match('/O:\s*\d+\s*:|C:\s*\d+\s*:/i', $body) ) {
        // optional: log attempt for analysis
        error_log('Blocked suspicious serialized payload from ' . $_SERVER['REMOTE_ADDR']);
        wp_die('Suspicious request blocked', 'Blocked', array('response' => 403));
    }
}, 1);

Anmerkungen:

  • Platzieren Sie die Datei in wp-content/mu-plugins/ damit sie geladen wird, bevor die Plugins ausgeführt werden.
  • Dies blockiert jeden POST, der typische serialisierte Objektstrings enthält — verringert die Chance auf Ausnutzung, könnte jedoch legitime Integrationen stören, die serialisiertes PHP übermitteln (selten).
  • Entfernen oder verfeinern Sie, sobald der offizielle Patch angewendet wurde.

Für Plugin-Entwickler: So beheben Sie diese Art von Fehler

  1. RUFEN SIE NIEMALS unserialize() mit nicht vertrauenswürdigen Daten auf. Wenn Sie deserialisieren müssen, bevorzugen Sie JSON: 
    // Verwenden Sie json_decode() für strukturierte Daten von Clients
  2. Wenn Sie verwenden müssen deserialize(), verwenden Sie die Option allowed_classes (PHP 7+): 
    $data = @unserialize($raw, ['allowed_classes' => false]); // Objekte vollständig verbieten
  3. Validieren und bereinigen Sie alle Eingaben, bevor Sie deserialisieren. Validieren Sie Typen, Wertebereiche, erwartete Schlüssel.
  4. Erzwingen Sie Berechtigungs- und Nonce-Prüfungen an AJAX- und REST-Endpunkten: 
    check_ajax_referer('your_action_nonce', 'security');
  5. Vermeiden Sie die Verwendung von benutzereingereichten serialisierten Daten für zustandsbehaftete Operationen; speichern Sie den serverseitigen Zustand stattdessen mit Optionen, Transienten oder Benutzermeta.
  6. Schreiben Sie Unit-Tests, die versuchen, bösartige Nutzlasten zu deserialisieren, um sicheres Verhalten zu gewährleisten.

Erkennungs- und Wiederherstellungscheckliste (Schritt-für-Schritt)

Wenn Sie eine Kompromittierung vermuten:

  1. Snapshot und isolieren:
    • Machen Sie sofort ein vollständiges Backup der Dateien und der Datenbank und speichern Sie es außerhalb des Servers.
    • Versetzen Sie die Website, wenn möglich, in den Wartungs-/Offline-Modus.
  2. Bestimmen Sie den Umfang:
    • Überprüfen Sie die Webserver-Protokolle und die WordPress-Protokolle auf verdächtige Anfragen (serialisierte Payloads).
    • Liste kürzlich geänderter Dateien: 
      find . -type f -mtime -30 -print
    • Suchen Sie nach neu hinzugefügten Administratorbenutzern oder Rolleneskalationen.
  3. Enthalten:
    • Deaktivieren Sie das anfällige Plugin.
    • Deaktivieren Sie bei Bedarf vorübergehend die öffentliche Registrierung und entfernen Sie verdächtige Abonnenten.
    • Ändern Sie alle Anmeldeinformationen für Admin/FTP/Hosting/DB.
  4. Bereinigen:
    • Entfernen Sie unbekannte PHP-Dateien (nur nach Überprüfung).
    • Ersetzen Sie die Kern-WordPress-Dateien aus einer offiziellen, sauberen Quelle.
    • Installieren Sie Plugins und Themes aus vertrauenswürdigen Quellen neu.
    • Wenn persistente Hintertüren vorhanden sind, ziehen Sie in Betracht, auf ein sauberes Backup zurückzusetzen.
  5. Neu bewerten:
    • Scannen Sie erneut mit einem zuverlässigen Malware-Erkennungstool.
    • Führen Sie eine Integritätsprüfung der Dateien durch und vergleichen Sie sie mit einer bekannten, guten Kopie.
  6. Nach dem Vorfall:
    • Überprüfen und rotieren Sie alle externen Schlüssel/Geheimnisse, die von der Website verwendet werden.
    • Überprüfen Sie die Hosting-Protokolle auf Versuche von Angreifern, sich zu pivotieren.
    • Führen Sie eine Sicherheitsüberprüfung und eine Patch-Management-Strategie durch.

Härtungs-Checkliste (langfristige Prävention)

  • Setzen Sie das Prinzip der minimalen Berechtigung für Benutzerkonten durch. Vermeiden Sie es, Kunden Administratorzugriff zu gewähren.
  • Verwenden Sie starke, einzigartige Passwörter und setzen Sie strenge Passwortrichtlinien durch.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung für Administratoren.
  • Halten Sie den WordPress-Kern, Themes und Plugins auf dem neuesten Stand. Überwachen Sie die Hinweise der Anbieter auf Schwachstellen.
  • Beschränken Sie die Verwendung von Plugins auf gut gewartete, aktiv unterstützte Erweiterungen. Entfernen Sie ungenutzte Plugins/Themes.
  • Aktivieren Sie, wo möglich, Dateischreibschutz (z. B. sichern Sie wp-config.php, verbieten Sie define('DISALLOW_FILE_EDIT', true);).
  • Verwenden Sie eine WAF mit virtuellen Patch-Funktionen und pflegen Sie benutzerdefinierte Regeln für hochriskante Endpunkte.
  • Überwachen Sie Protokolle auf Anomalien und richten Sie Warnungen für verdächtige Aktivitäten ein.
  • Sichern Sie regelmäßig und testen Sie die Wiederherstellungsverfahren.

Beispiel: Bestätigung der Plugin-Schwachstelle auf Ihrer Website

Verwenden Sie WP-CLI, um installierte Plugin-Versionen anzuzeigen:

# Liste der Plugins und Versionen

Wenn die zurückgegebene Version 1.8 oder niedriger ist, behandeln Sie sie als anfällig, bis der Anbieter eine gepatchte Version veröffentlicht.

Suchen Sie im Plugin-Code nach der Verwendung von unserialize:

grep -RIn "unserialize" wp-content/plugins/sb-woocommerce-infinite-scroll || true

Wenn Sie unserialize() ohne Validierung oder allowed_classes-Schutz finden — das ist ein starkes Indiz für die Schwachstelle.

Was tun, wenn Sie auf einen Hosting-Anbieter oder eine Agentur angewiesen sind

  • Informieren Sie Ihren Host sofort und bitten Sie ihn, den Exploit-Verkehr zu Ihrer Website zu blockieren.
  • Fordern Sie an, dass sie einen virtuellen Patch oder eine benutzerdefinierte WAF-Regel anwenden, um Exploit-Versuche für den betroffenen Endpunkt zu blockieren.
  • Arbeiten Sie mit Ihrem Entwickler zusammen, um das Plugin zu entfernen oder zu deaktivieren, bis ein sicherer Patch veröffentlicht wird.
  • Wenn Sie mehrere Websites auf demselben Konto hosten, behandeln Sie alle als potenziell betroffen, bis die Untersuchung abgeschlossen ist.

Zeitplan für die Incident-Response (empfohlen)

  • Stunde 0: Sichern Sie die Website, deaktivieren Sie das Plugin, beschränken Sie die Registrierungen, ändern Sie die Passwörter für Administratoren.
  • Stunde 1–6: Setzen Sie den virtuellen Patch der WAF ein (blockieren Sie serialisierte Objektmuster) oder implementieren Sie einen MU-Plugin-Schnipsel, um Anfragen zu blockieren.
  • Tag 1: Führen Sie einen vollständigen Malware-Scan durch, suchen Sie nach Indikatoren und beginnen Sie mit der forensischen Checkliste.
  • Tag 1–3: Durchsuchen Sie nach Persistenz (unbekannte geplante Ereignisse, mu-Plugins, modifizierte Kern-Dateien).
  • Tag 3–7: Reinigen oder von einem sauberen Backup wiederherstellen; Dienste mit Überwachung wieder aktivieren.
  • Woche 1+: Härten Sie die Website gemäß der Checkliste und überwachen Sie die Protokolle auf Wiederholungsversuche.

Warum Sie sich nicht nur auf die Verfügbarkeit von Patches verlassen sollten

Selbst nachdem ein Anbieter einen Patch veröffentlicht hat, können Websites aufgrund verzögerter Updates, Staging-/Produktions-Update-Workflows oder verpasster Kommunikationen lange Zeit anfällig bleiben. Virtuelles Patchen (WAF), Härtung und Überwachung bieten eine tiefgehende Verteidigung. Eine Exploit-Kette kann mehrere Plugins umfassen – daher beseitigt ein einzelner Patch nicht die Notwendigkeit für kontinuierliche Überwachung und WAF-Schutz.

Wie WP-Firewall hilft, während Sie auf einen Patch des Anbieters warten

Wir haben WP-Firewall als mehrschichtige Verteidigung für WordPress-Websites entwickelt. Unsere Plattform bietet:

  • Verwaltetes WAF mit der Fähigkeit, gezielte virtuelle Patches für neue Schwachstellen wie CVE-2025-11993 bereitzustellen.
  • Regelsets zur Erkennung und Blockierung von serialisierten Objekt-Payloads und plugin-spezifischen Exploit-Signaturen.
  • Datei-Integritätsprüfungen und geplante Malware-Überprüfungen.
  • Vorfallwarnungen, die mit E-Mail und Slack integriert sind.
  • Geführte Schritte zur Behebung für Entwickler und Website-Besitzer.

Wenn Sie das Plugin nicht sofort patchen oder entfernen können, reduziert das Einfügen eines verwalteten WAF vor Ihrer Website dramatisch die Chance auf erfolgreiche Ausnutzung, während Sie die Bereinigung durchführen und auf eine offizielle Plugin-Reparatur warten.

Neu: Schützen Sie Ihre Website kostenlos – melden Sie sich für einen WP-Firewall Basic-Plan an

Titel: Sichern Sie Ihre Website heute mit essenziellem, immer aktivem Schutz

Wir verstehen, dass Dringlichkeit wichtig ist. Unser Basic (Kostenlos)-Plan bietet grundlegenden Schutz, damit Sie das Risiko sofort reduzieren können, während Sie an Patches und Bereinigung arbeiten. Der kostenlose Plan umfasst:

  • Verwaltete Firewall und WAF-Regeln, die in Echtzeit aktualisiert werden können
  • Unbegrenzter Bandbreitenschutz
  • Malware-Scanner zur Erkennung verdächtiger Dateien
  • Minderung der OWASP Top 10-Risiken

Wenn Sie mehr Automatisierung bevorzugen, fügen unsere kostenpflichtigen Pläne automatische Malware-Entfernung, IP-Blacklistung/-Whitelistung, monatliche Sicherheitsberichte und automatisiertes virtuelles Patchen von Schwachstellen hinzu. Beginnen Sie mit dem kostenlosen Basic-Plan und upgraden Sie, wenn Sie bereit sind: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Abschließende Empfehlungen (schnelle Checkliste)

  • Wenn Sie WooCommerce Infinite Scroll <= 1.8 verwenden: Übernehmen Sie das Risiko und handeln Sie jetzt.
  • Deaktivieren Sie das Plugin, wenn möglich.
  • Wenn Sie nicht deaktivieren können: Fügen Sie das Stop-Serialized-Objects-MU-Plugin hinzu oder setzen Sie eine WAF-Regel ein, um serialisierte Objekt-Payloads zu blockieren.
  • Erzwingen Sie Passwortänderungen für privilegierte Konten und überprüfen Sie alle Benutzerkonten auf verdächtige Aktivitäten.
  • Sichern Sie Ihre Website sofort und beginnen Sie mit forensischen Überprüfungen.
  • Melden Sie sich für einen verwalteten WAF- oder Sicherheitsdienst an (unser kostenloser Basisplan schützt Websites, während Sie Patches anwenden).

Literaturhinweise und weiterführende Literatur

  • Offizielle CVE-Liste: CVE-2025-11993
  • WordPress-Entwicklerdokumentation: AJAX-Sicherheit, Nonces, Benutzer und Berechtigungen
  • PHP-Handbuch: unserialize() Optionen (allowed_classes, Entfernung unsicherer Verhaltensweisen)
  • OWASP: Anleitung zu Deserialisierungs- und Injektionsangriffen

Wenn Sie jetzt Hilfe benötigen, steht Ihnen unser WP-Firewall-Supportteam zur Verfügung, um bei virtuellen Patches, Anleitungen zur Incident-Response und verwalteter Bereinigung zu helfen. Wir können temporäre Regeln bereitstellen, die auf Ihre Website zugeschnitten sind, und schrittweise Unterstützung bei der Behebung anbieten, damit Sie das Risiko in Minuten und nicht in Tagen reduzieren können.

wordpress security update banner

Erhalten Sie WP Security Weekly kostenlos 👋
Jetzt anmelden!!

Melden Sie sich an, um jede Woche WordPress-Sicherheitsupdates in Ihrem Posteingang zu erhalten.

Wir spammen nicht! Lesen Sie unsere Datenschutzrichtlinie für weitere Informationen.

Kontaktieren Sie uns, um eine kostenlose Beratung zur WordPress-Sicherheit zu vereinbaren

Kontaktieren Sie uns

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Merkmale Preise Der Blog Login
Datenschutzrichtlinie Servicebedingungen Dokumentation Partnerprogramm

© 2026 WP-Firewall™