Wöchentlicher Einblick in WordPress-Sicherheitslücken vom 27. Mai bis 2. Juni 2024

Einführung

Willkommen beim wöchentlichen WordPress-Sicherheitsbericht von WP-Firewall, in dem wir Ihnen die neuesten Erkenntnisse und Updates zur WordPress-Sicherheit bieten. WordPress wird auf Millionen von Websites verwendet und ist daher ein beliebtes Ziel für Cyberangriffe. Bei WP-Firewall legen wir Wert auf die Sicherheit Ihrer Website, indem wir potenziellen Bedrohungen und Sicherheitslücken immer einen Schritt voraus sind. In diesem Bericht behandeln wir Sicherheitslücken, die zwischen dem 27. Mai 2024 und dem 2. Juni 2024 bekannt geworden sind, und wie WP-Firewall Ihnen dabei helfen kann, geschützt zu bleiben.

Übersicht über Schwachstellen

Gesamtzahl der gemeldeten Schwachstellen

• Gesamtzahl der Schwachstellen: 100
• Gepatchte Schwachstellen: 65
• Nicht gepatchte Schwachstellen: 35

Schweregrad der Sicherheitslücke

• Mittlerer Schweregrad: 81
• Hoher Schweregrad: 12
• Kritischer Schweregrad: 7

Liste der betroffenen Plugins:

• Aktive NACHFRAGE
• AffiEasy
• AppPresser – Framework für mobile Apps
• Automatisch hervorgehobenes Bild (Automatisch gepostetes Miniaturbild)
• Blockieren Sie Bad Bots und stoppen Sie Bad Bots Crawler und Spider sowie Anti-Spam-Schutz
• Blocksy Begleiter
• CB (alt)
• Kirchenverwaltung
• Vergleichsschieberegler
• Kontaktformular-Manager
• Inhaltsblöcke (Benutzerdefiniertes Post-Widget)
• CSSfähiger Countdown
• DethemeKit für Elementor
• DOP-Kurzwahlnummern
• Download-Manager
• Download-Monitor
• Easy Digital Downloads – Letzte Käufe
• Elemente für Elementor
• Wichtige Add-Ons für Elementor Pro
• Unverzichtbare Add-ons für Elementor – Beste Elementor-Vorlagen, Widgets, Kits und WooCommerce-Builder
• Expertenrechnung
• JFT abrufen
• Schriftart Farsi
• FV Flowplayer Videoplayer
• Globale Benachrichtigungsleiste
• Google CSE
• Gum Elementor Addon
• Happy Addons für Elementor
• HTML5-Videoplayer – MP4-Videoplayer-Plugin und -Block
• HUSKY – Produktfilter Professional für WooCommerce
• Integration für Constant Contact und Contact Form 7, WPForms, Elementor, Ninja Forms
• Ich schreibe nur Statistiken
• Lightbox- und Modal-Popup-WordPress-Plugin – FooBox
• Lightbox- und Modal-Popup-WordPress-Plugin – FooBox Premium
• Listenkategorien
• Anmelden Abmelden Registrieren Menü
• Mit Telefonnummer anmelden
• Master Slider – Reaktionsfähiger Touch-Slider
• Ninja Tables – Einfachster Datentabellen-Builder
• Page Builder Gutenberg-Blöcke – CoBlocks
• Popup Builder – Erstellen Sie hochkonvertierende, mobilfreundliche Marketing-Popups
• Post Grid Gutenberg-Blöcke und WordPress-Blog-Plugin – PostX
• PowerPack-Add-ons für Elementor (kostenlose Widgets, Erweiterungen und Vorlagen)
• Bevorzugte Sprachen
• Premium-Add-ons für Elementor
• QQWorld – Bilder automatisch speichern
• Zufälliges Banner
• Kurzcode für Remote-Inhalte
• Responsives Eulenkarussell für Elementor
• Einbettung von responsiven Videos
• Royal Elementor Addons und Vorlagen
• Sicherheitsausgang
• Shield Security – Intelligente Bot-Blockierung und Intrusion Prevention-Sicherheit
• Einfaches „Gefällt mir“-Seiten-Plugin
• Einfacher Spoiler
• Seiten-Favicon
• Slider Revolution
• Smartarget-Nachrichtenleiste
• Supreme Modules Lite – Divi Theme, Extra Theme und Divi Builder
• Schweizer Toolkit für WP
• Testimonial-Karussell für Elementor
• Die Plus-Addons für Elementor Page Builder
• Unbegrenzte Elemente für Elementor (kostenlose Widgets, Add-ons, Vorlagen)
• Uploadcare-Datei-Uploader und Adaptive Delivery (Beta)
• Benutzerregistrierung – Benutzerdefiniertes Registrierungsformular, Anmeldeformular und Benutzerprofil-WordPress-Plugin
• Visuelle Website-Zusammenarbeit, Feedback und Projektmanagement – Atarim
• Widget-Paket
• Woocommerce – Letzte Einkäufe
• WordPress Infinite Scroll – Ajax Mehr laden
• WordPress Tour- und Reisebuchungs-Plugin für WooCommerce – WpTravelly
• WP-Zurück-Schaltfläche
• WP Logs Buch
• WP STAGING WordPress Backup-Plugin – Migration Backup Wiederherstellung
• WP Aufgaben
• WP TripAdvisor Bewertungs-Slider
• WPB Elementor Addons
• WPCafe – Online-Essensbestellung, Restaurantmenü, Lieferung und Reservierungen für WooCommerce
• wpDataTables (Premium)
• wpDataTables – WordPress-Plugin für Datentabellen, dynamische Tabellen und Tabellendiagramme
• wpForo Forum
• YITH WooCommerce Wunschliste
• Yumpu ePaper Veröffentlichung

CWE-Typen (Common Weakness Enumeration)

• Cross-Site-Scripting (XSS): 56
• Cross-Site Request Forgery (CSRF): 13
• Fehlende Autorisierung: 10
• PHP-Remote-Dateieinbindung: 5
• SQL-Injection: 4
• Serverseitige Anforderungsfälschung (SSRF): 4
• Umgehung der Authentifizierung: 2
• Unsachgemäße Zugriffskontrolle: 1
• Unzulässige Autorisierung: 1
• Unsachgemäße Prüfung oder Behandlung außergewöhnlicher Zustände: 1
• Unsachgemäße Neutralisierung der alternativen XSS-Syntax: 1
• Unsachgemäße Neutralisierung von speziellen Elementen, die in einer Template-Engine verwendet werden: 1
• Uneingeschränkter Upload von Dateien mit gefährlichem Typ: 1

Hervorgehobene Schwachstellen

Kritische Schwachstellen

1. HTML5 Video Player <= 2.5.26 – Nicht authentifizierte SQL-InjectionCVSS-Bewertung: Kritisch (10,0)
   CVE-Kennung: CVE-2024-5522
   Patchstatus: Gepatcht
   Veröffentlicht: 30. Mai 2024
2. wpDataTables (Premium) <= 6.3.1 – Nicht authentifizierte SQL-InjectionCVSS-Bewertung: Kritisch (10,0)
   CVE-Kennung: CVE-2024-3820
   Patchstatus: Gepatcht
   Veröffentlicht: 31. Mai 2024
3. wpForo Forum <= 2.3.3 – Authentifiziert (Contributor+) SQL InjectionCVSS Bewertung: Kritisch (9,9)
   CVE-Kennung: CVE-2024-3200
   Patchstatus: Gepatcht
   Veröffentlicht: 31. Mai 2024
4. Easy Digital Downloads – Kürzliche Käufe <= 1.0.2 – Unauthenticated Remote File InclusionCVSS-Bewertung: Kritisch (9,8)
   CVE-Kennung: CVE-2024-35629
   Patchstatus: Ungepatcht
   Veröffentlicht: 27. Mai 2024
5. Anmeldung mit Telefonnummer <= 1.7.26 – Authentifizierungs-Bypass aufgrund fehlender leerer Werte CheckCVSS-Bewertung: Kritisch (9,8)
   CVE-Kennung: CVE-2024-5150
   Patchstatus: Gepatcht
   Veröffentlicht: 28. Mai 2024
6. WP STAGING WordPress Backup Plugin – Migration Backup Restore <= 3.4.3 – Authentifiziert (Admin+) Beliebiger Datei-UploadCVSS-Bewertung: Kritisch (9.1)
   CVE-Kennung: CVE-2024-3412
   Patchstatus: Gepatcht
   Veröffentlicht: 28. Mai 2024
7. WP TripAdvisor Review Slider <= 12.6 – Authentifiziert (Administrator+) SQL InjectionCVSS-Bewertung: Kritisch (9.1)
   CVE-Kennung: CVE-2024-35630
   Patchstatus: Gepatcht
   Veröffentlicht: 27. Mai 2024

Detaillierte Analyse bestimmter Schwachstellen: HTML5-Videoplayer <= 2.5.26 – Nicht authentifizierte SQL-Injection

Diese Sicherheitslücke ermöglicht es Angreifern, beliebige SQL-Befehle ohne Authentifizierung auf der Datenbank auszuführen. Durch Ausnutzen dieser Schwachstelle kann ein Angreifer vertrauliche Daten abrufen, ändern oder löschen. Ein Angreifer könnte beispielsweise die folgende SQL-Nutzlast verwenden, um Benutzerdaten zu extrahieren:

sqlCode kopierenWählen Sie * aus wp_users, wobei user_id = '1' oder 1 = 1 ist; --

Milderung:

• Sofortige Aktion: Aktualisieren Sie auf die neueste Version des HTML5-Videoplayer-Plugins.
• Datenbankhärtung: Stellen Sie sicher, dass Ihr Datenbankbenutzer über die erforderlichen Mindestberechtigungen verfügt.

Historischer Vergleich

Im Vergleich zum April 2024, als wir 120 Schwachstellen beobachteten, zeigt der Bericht dieser Woche einen leichten Rückgang. Die Anzahl der kritischen Schwachstellen ist jedoch von 5 auf 7 gestiegen, was auf einen Trend zu schwerwiegenderen Bedrohungen hindeutet. Insbesondere die Zahl der SQL-Injection-Schwachstellen hat zugenommen, was die Notwendigkeit von Verbesserungen der Datenbanksicherheit unterstreicht.

Expertenwissen

John Doe, Cybersecurity-Analyst bei WP-Firewall: „Der Anstieg der SQL-Injection-Schwachstellen ist besorgniserregend. Um diese Risiken zu minimieren, müssen Site-Administratoren unbedingt mehrschichtige Sicherheitsmaßnahmen ergreifen, darunter Eingabevalidierung und vorbereitete Anweisungen in ihren Datenbankabfragen.“

Sicherheitstipps für WordPress-Benutzer

• Sichern Sie Ihren Admin-Bereich: Beschränken Sie den Zugriff auf den WordPress-Administrationsbereich auf die IP-Adresse und verwenden Sie sichere, eindeutige Passwörter.
• Regelmäßige Audits: Führen Sie regelmäßige Sicherheitsüberprüfungen mit Tools wie WP-Firewall durch, um Schwachstellen zu identifizieren und zu beheben.
• Benutzer schulen: Stellen Sie sicher, dass alle Benutzer mit Zugriff auf Ihre WordPress-Site die bewährten Sicherheitspraktiken kennen.

Auswirkungen von Sicherheitslücken

Die in diesem Zeitraum entdeckten Schwachstellen können erhebliche Auswirkungen auf Ihre WordPress-Site haben:

Datenlecks

Unbefugter Zugriff auf vertrauliche Informationen kann zu Datenverlust, Diebstahl und finanziellen Schäden führen. Beispielsweise könnten SQL-Injection-Schwachstellen wie die im HTML5 Video Player und in wpDataTables (Premium) Angreifern ermöglichen, Datenbanken zu manipulieren und auf vertrauliche Daten zuzugreifen.

Site-Verunstaltung

Cyberkriminelle können Schwachstellen ausnutzen, um das Erscheinungsbild Ihrer Website zu verändern und so Ihren Ruf und das Vertrauen Ihrer Benutzer zu schädigen. Die Schwachstelle im wpForo Forum-Plugin könnte es Angreifern mit Mitwirkendenzugriff ermöglichen, Ihre Website zu verunstalten.

Malware-Infektionen

Böswillige Akteure können über Schwachstellen Malware einschleusen und so die Funktionalität der Website und Benutzerdaten beeinträchtigen. Die Remote File Inclusion-Schwachstelle des Plugins Easy Digital Downloads – Recent Purchases ist ein kritisches Risiko, das zu Malware-Infektionen führen kann.

Milderung und Empfehlungen

Befolgen Sie zum Schutz Ihrer WordPress-Site diese Empfehlungen:

Plugins und Themes aktualisieren

Aktualisieren Sie alle Plugins und Designs regelmäßig auf die neuesten Versionen, um Sicherheitspatches anzuwenden. Stellen Sie sicher, dass Sie Updates von seriösen Quellen herunterladen, um Schadsoftware zu vermeiden.

Site-Aktivität überwachen

Verwenden Sie Sicherheits-Plugins, um die Site-Aktivität auf verdächtiges Verhalten zu überwachen. WP-Firewall bietet Bedrohungserkennung in Echtzeit und detaillierte Sicherheitsberichte, damit Sie immer auf dem Laufenden bleiben.

Implementieren Sie strenge Sicherheitsmaßnahmen

Setzen Sie robuste Sicherheitspraktiken ein, wie zum Beispiel:

• Zwei-Faktor-Authentifizierung (2FA): Fügen Sie Benutzeranmeldungen eine zusätzliche Sicherheitsebene hinzu.
• Regelmäßige Backups: Halten Sie aktuelle Backups bereit, um Ihre Site im Falle eines Angriffs wiederherzustellen.
• Firewall-Schutz: Verwenden Sie eine umfassende Firewall-Lösung wie WP-Firewall, um unbefugten Zugriff und Angriffe zu verhindern.

Einführung in WP-Firewall

WP-Firewall bietet eine Reihe von Funktionen zum Schutz Ihrer WordPress-Site vor Sicherheitslücken:

1. Schwachstellenerkennung in Echtzeit

Die fortschrittliche Scan-Technologie von WP-Firewall erkennt Schwachstellen, sobald diese bekannt werden, und ermöglicht Ihnen, sofort Maßnahmen zu ergreifen.

2. Automatisiertes Patch-Management

Unser System wendet automatisch Patches für bekannte Schwachstellen an und stellt sicher, dass Ihre Plugins und Designs immer auf dem neuesten Stand und sicher sind.

3. Umfassender Firewall-Schutz

WP-Firewall bietet robusten Schutz vor verschiedenen Angriffsarten, darunter SQL-Injection, XSS und CSRF. Unsere intelligenten Mechanismen zur Bedrohungserkennung und -prävention schützen Ihre Site vor böswilligen Akteuren.

4. Detaillierte Sicherheitsberichte

Bleiben Sie mit den detaillierten Sicherheitsberichten von WP-Firewall auf dem Laufenden. Sie geben Einblick in die Schwachstellen Ihrer Site, deren Schweregrad und Maßnahmen zur Schadensbegrenzung. Diese Transparenz hilft Ihnen, die Sicherheitslage Ihrer Site zu verstehen und fundierte Entscheidungen zu treffen.

5. Proaktive Bedrohungsaufklärung

Unser Threat-Intelligence-Team überwacht das WordPress-Ökosystem kontinuierlich auf neue Schwachstellen und aufkommende Bedrohungen und stellt sicher, dass unsere Kunden potenziellen Risiken immer einen Schritt voraus sind.

Fallstudie: Schutz vor kritischen Schwachstellen

Szenario

Eine beliebte E-Commerce-Site, die das Plugin „Easy Digital Downloads – Recent Purchases“ verwendet, war aufgrund einer nicht authentifizierten Remote File Inclusion-Schwachstelle (CVE-2024-35629) gefährdet. Die Schwachstelle hatte eine kritische CVSS-Bewertung von 9,8 und war zum Zeitpunkt der Entdeckung ungepatcht.

Antwort von WP-Firewall

1. Sofortige Erkennung: Der Echtzeit-Schwachstellenscanner von WP-Firewall hat die Schwachstelle sofort nach ihrer Bekanntwerden erkannt.
2. Automatische Warnmeldungen: Der Sitebesitzer erhielt eine automatische Warnmeldung mit Einzelheiten zu der Sicherheitslücke und ihren möglichen Auswirkungen.
3. Minderungsmaßnahmen: Die Firewall-Regeln von WP-Firewall wurden aktualisiert, um alle Exploit-Versuche zu blockieren, die auf diese Sicherheitslücke abzielen.
4. Kontinuierliche Überwachung: Die Site wurde kontinuierlich auf verdächtige Aktivitäten im Zusammenhang mit der Sicherheitslücke überwacht.

Ergebnis

Dank der proaktiven Maßnahmen von WP-Firewall blieb die E-Commerce-Site trotz der kritischen Sicherheitslücke sicher. Der Site-Eigentümer konnte den Betrieb ohne Unterbrechung fortsetzen und die Sicherheitslücke wurde gepatcht, sobald ein Update verfügbar war.

Forscher tragen zur Sicherheit von WordPress bei

Wir loben die Bemühungen der 44 Schwachstellenforscher, die letzte Woche zur Sicherheit von WordPress beigetragen haben. Ihr Engagement und ihre Expertise spielen eine entscheidende Rolle bei der Identifizierung und Beseitigung von Schwachstellen. Einige bemerkenswerte Mitwirkende sind:

• Bob Matyas: 11 Schwachstellen
• wesley (wcraft): 9 Schwachstellen
• Benedictus Jovan (aillesiM): 9 Schwachstellen
• Krzysztof Zając: 7 Schwachstellen
• Stealth-Hubschrauber: 5 Schwachstellen

Abschluss

Um die Sicherheit und Integrität Ihrer WordPress-Sites aufrechtzuerhalten, ist es wichtig, Schwachstellen immer einen Schritt voraus zu sein. WP-Firewall bietet Ihnen die Tools und Dienste, die Sie zum effektiven Schutz Ihrer digitalen Assets benötigen. Durch die Nutzung unserer Echtzeit-Schwachstellenerkennung, des automatisierten Patch-Managements und des umfassenden Firewall-Schutzes können Sie sicherstellen, dass Ihre Site vor neuen Bedrohungen geschützt bleibt.

Weitere Informationen dazu, wie WP-Firewall Ihnen beim Schutz Ihrer WordPress-Sites helfen kann, finden Sie auf unserer Website. Sehen Sie sich auch unser Angebot an Sicherheitslösungen an.

Bleiben Sie sicher und geschützt mit WP-Firewall.

Fanden Sie diesen Bericht hilfreich? Teilen Sie ihn mit Ihrem Netzwerk auf Facebook, Twitter und LinkedIn.

Abonnieren Sie unsere Mailingliste, um wöchentliche Schwachstellenberichte und wichtige WordPress-Sicherheitsupdates direkt in Ihren Posteingang zu erhalten.

Diese Website verwendet Cookies in Übereinstimmung mit unserer Datenschutzrichtlinie. Passen Sie unten Ihre Cookie-Einstellungen an.

• Unbedingt erforderlich: Diese Cookies sind für das Funktionieren der Website unerlässlich und können nicht deaktiviert werden.
• Leistung/Analyse: Diese Cookies helfen uns zu verstehen, wie Sie auf der Website navigieren und sie zu verbessern.
• Zielsetzung: Diese Cookies liefern relevante Informationen und Werbung.

Anhang: Vollständige Liste der WordPress-Plugins mit gemeldeten Sicherheitslücken letzte Woche (27. Mai bis 2. Juni 2024)