Bei mindestens 60.000 Plugins und mehreren tausend Themes, die es für WordPress gibt, ist es weniger die Frage, ob es bei diesen Erweiterungen für WordPress Sicherheitslücken geben kann, sondern viel mehr stellt sich die Frage, wann passiert es wieder.
Diverse Themes und Plugins setzen zudem auf bestimmte Frameworks und Bibliotheken und wenn diese betroffen sind, erwischt es gleichzeitig auch eine Reihe an Plugins oder Themes. So auch in diesem Fall, aber alles der Reihe nach.
WPS Hide Login verrät das Login-Formular
Das Plugin WPS Hide Login soll dafür sorgen, dass das Login-Formular vor unerwünschten Zugriffen geschützt ist. Das Plugin erreicht das, in dem es das Login-Formular “verschiebt”. Da die meisten automatisierten Angriffe auf Standardeinstellungen abzielen, erreicht man damit ein wenig mehr Sicherheit.
Nun ist es wohl leider passiert, dass durch eine Lücke das Plugin den Ort des Formulars preisgegeben hat. Das ist zwar einerseits ärgerlich, aber andererseits bleiben die anderen Sicherheitsmechanismen – individueller Nutzername und starkes Passwort – nach wie vor erhalten. Deswegen ist die reißerische Überschrift von SearchEngine Journal für mich nicht ganz nachvollziehbar:
Das Plugin wird auf mehr als einer Million Websites eingesetzt und wurde mittlerweile gepatcht. Somit ist die Lücke nun behoben.
Angriffe über die Nutzer-Verwaltung: Mehrere Plugins und Themes betroffen
Die andere Meldung ist da allerdings deutlich relevanter und es sind wohl 1,6 Millionen Websites betroffen gewesen, wie es im Blog von Wordfence heißt:
Die Attacken dienten dazu, die Rolle der neu registrierten Nutzer von Abonnent auf Admin zu erhöhen. Folgende Plugins sind von der Attacke betroffen gewesen:
- PublishPress Capabilities <= 2.3
- Kiwi Social Plugin <= 2.0.10
- Pinterest Automatic <= 4.14.3
- WordPress Automatic <= 3.53.2
Es sind auch mehrere Themes betroffen bzw. betroffen gewesen, da es nicht für alle einen Patch gibt. All die betroffenen Themes nutzen das Epsilon-Framework.
Es zeigt mal wieder, dass die Sparsamkeit beim Einsatz von Plugins eine wichtige Sicherheitsmaßnahme und dass die Wartung einer WordPress-Installation ein kontinuierlicher Job ist.
Image(s) licensed by Ingram Image/adpic.
Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienstleistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.
