Webhosting Deutschland - Mein Hosting PartnerWebhosting Deutschland - Mein Hosting PartnerWebhosting Deutschland - Mein Hosting PartnerWebhosting Deutschland - Mein Hosting Partner

WordPress-Plugin Wirklich einfache Sicherheit lek

WordPress-Plugin Wirklich einfache Sicherheit lek
MijnHostingPartner

WordPress-Plugin Wirklich einfache Sicherheit lek

Wenn Sie das WordPress-Plug-in Really Simple Security installiert haben, sollten Sie es dringend so schnell wie möglich auf die neueste Version 9.1.2 oder höher aktualisieren, um Ihre Website zu schützen. In diesem Blog-Beitrag berichten wir über das Leck und wie es entstanden ist.

Ganz einfaches Sicherheitsleck

Böswillige können ein Leck in diesem Plugin ausnutzen, das es ihnen ermöglicht, die gesamte Website zu übernehmen. Diese Sicherheitslücke hat eine Schwachstelle mit einer Authentifizierungsumgehung geschaffen. Dies ist eine Schwachstelle, die es einem Angreifer ermöglicht, auf Teile einer Website zuzugreifen, die normalerweise einen Benutzernamen und ein Kennwort erfordern, ohne dass er seine Anmeldedaten angeben muss. Die für Really Simple Security spezifische Schwachstelle ermöglicht einem Angreifer den Zugriff auf das Konto eines beliebigen registrierten Benutzers der Website, einschließlich des Administrators, indem er einfach den Benutzernamen kennt.

Diese Schwachstelle wird als "Unauthenticated Access Vulnerability" bezeichnet, eine der schwerwiegendsten Arten von Schwachstellen, da sie im Allgemeinen leichter auszunutzen ist als eine "authentifizierte" Schwachstelle, bei der ein Angreifer zunächst den Benutzernamen und das Passwort eines registrierten Benutzers in Erfahrung bringen muss.



Wordfence hat dazu eine Mitteilung herausgegeben, die im Folgenden zu lesen ist: "Die Really Simple Security (Free, Pro und Pro Multisite) Plugins für WordPress sind in den Versionen 9.0.0 bis 9.1.1.1 anfällig für Authentifizierungsumgehungen. Dies ist auf eine unsachgemäße Fehlerbehandlung bei der Benutzerprüfung in den Zwei-Faktor-REST-API-Aktionen mit der Funktion 'check_login_and_get_user' zurückzuführen.



Dies ermöglicht es nicht authentifizierten Angreifern, sich als ein beliebiger Benutzer auf der Website anzumelden, z. B. als Administrator, wenn die "Zwei-Faktor-Authentifizierung" aktiviert ist (standardmäßig deaktiviert). Wordfence blockierte in den letzten 24 Stunden 310 Angriffe, die auf diese Schwachstelle abzielten." Es handelt sich also um ein ernsthaftes Leck, dieses Plugin ist auf 4 Millionen WordPress-Websites weltweit installiert und erfordert daher, dass viele Benutzer sofort etwas dagegen unternehmen. Aktualisieren Sie das Plugin sofort, und erwägen Sie auch, automatische Updates für das Plugin zu aktivieren. Dann werden auch alle weiteren Updates sofort installiert, sobald sie veröffentlicht werden.

Sicherheit für Ihre WordPress-Website

Um eine WordPress-Website sicher zu halten, ist es wichtig, dass Sie mit den Updates Schritt halten und kritisch prüfen, welche Plugins und Themes Sie installiert haben. Die Liste der Plug-ins und Themes, die Sie auf Ihrer Website installiert haben, sollte immer auf ein Minimum reduziert werden, und alle inaktiven Komponenten, die Sie auf der Website belassen haben, sollten entfernt werden.

Auf diese Weise halten Sie die Website von Verunreinigungen frei und sorgen dafür, dass Ihre Website optimal läuft. Die Installation vieler Plug-ins ist auch immer ein Risiko, da diese Plug-ins immer auf dem neuesten Stand gehalten werden und zusammenarbeiten sollten. In der Regel empfehlen wir, nicht mehr als 8 Plug-ins innerhalb der WordPress-Website zu verwenden. Und prüfen Sie immer kritisch, wie oft diese Plug-ins aktualisiert werden und ob ihre Bewertungen gut sind.

Wenn ein Plug-in monatelang nicht aktualisiert wird, ist das oft ein Zeichen dafür, dass es klüger ist, es nicht auf Ihrer Website zu installieren. Darüber hinaus können Sie zwar zusätzliche Plug-ins installieren, um die Sicherheit Ihrer WordPress-Website zu erweitern, zum Beispiel mit Really Simple Security. Aber wie Sie in dieser Nachricht sehen werden, können diese Plug-ins selbst auch der Übeltäter sein. Ein starkes Zufallspasswort für Ihren WordPress-Benutzer und regelmäßige Backups Ihrer WordPress-Website sind immer noch die beiden Methoden, auf die Sie sich in dieser Hinsicht am meisten verlassen können. Stellen Sie außerdem sicher, dass Ihre Backups an mehreren Orten gespeichert sind, z. B. einmal auf dem Hosting-Platz, einmal lokal und einmal auf einem Cloud-Speicher eines Drittanbieters.

Auf diese Weise können Sie sich auch in fast jedem Szenario auf ein Backup Ihrer WordPress-Website verlassen. Halten Sie also Ihre Website auf dem neuesten Stand und informieren Sie sich über die neuesten Entwicklungen bei den von Ihnen verwendeten Themes und Plug-ins - so ist IhreWordPress-Website sicher!

Quelle: https: //www.searchenginejournal.com/wordpress-security-plugin-vulnerability-endangers-4-million-sites/532701/