XSS Sicherheitslücke betrifft zahlreiche WordPress Plugins

  • in der Kategorie Security
  • veröffentlicht.
Zoom Sicherheit

WordPress bietet zahlreiche Plugins mit denen die Webseite erweitert werden kann. Einige von ihnen weisen erhebliche Sicherheitslücken auf. Derzeit ist die XSS Sicherheitslücke ein Thema.

XSS steht für Cross-Site-Scripting. Hierbei werden webseitenübergreifend Sicherheitslücken ausgenutzt, indem nicht vertrauenswürdige Inhalte in einen Kontext eingefügt werden, der als vertrauenswürdig gilt. Angreifbar sind viele WordPress Plugins, weil im Code add_query_arg() und remove_query_arg()Funktionen missbraucht werden können.

Die XSS Sicherheitslücke erlaubt es Angreifern, einen eigenen Code auf einer Webseite einzubinden, der interessante Informationen ausliest und diese auf fremde Server weiterleitet. So kann der Angreifer bspw. an Login Daten oder andere sensible Informationen kommen. Die potentielle Gefährdung variiert, da die Funktionen unterschiedlich genutzt wurden. Nicht immer muss die Gefahr hoch sein, sie birgt aber ein Risiko was auf jeden Fall behoben werden sollte.

Welche WordPress Plugins sind betroffen?

Betroffen von der XSS Sicherheitslücke sind/waren bisher folgende WordPress Plugins:

  • All in One SEO
  • Broken-Link-Checker
  • Download Monitor
  • Give
  • Gravity Forms
  • Jetpack
  • Google Analytics by Yoast
  • Multiple Plugins von Easy Digital Plugins
  • Multiple iThemes products including Builder and Exchange
  • My Calender
  • Ninja Forms
  • UpdraftPlus
  • P3 Profiler
  • Related Posts for WordPress
  • WP-E-Commerce
  • WPTouch
  • WordPress SEO

Die meisten Anbieter haben bereits reagiert und bieten Sicherheits-Updates an. Man vermutet aber, dass noch weitere WordPress Plugins betroffen sind.

Was tun gegen Sicherheitslücken in WordPress Plugins?

Zahlreiche Anbieter haben bereits reagiert und die Sicherheitslücke geschlossen.  Daher ist es wichtig, die angebotenen Sicherheits-Updates sofort zu machen. Prüfen Sie daher die Aktualität der WordPress Plugins oder ziehen Sie einen WordPress Service in Betracht. Mit regelmässigen Updates können Schwachstellen behoben werden.

Gerne können Sie uns hierzu kontaktieren.

Grundsätzlich raten wir dazu, immer auf aktuelle Updates beim Theme und Plugin zu achten und die Anzahl der verwendeten Plugins weitestgehend zu minimieren.  Deaktivieren reicht aber nicht aus – die WordPress Plugins müssen gelöscht werden. Auch eingeschränkte Zugriffsrechte der wp-admin-Verzeichnisse können das Risiko minimieren.

Was können Entwickler tun?

Entwickler von WordPress Plugins wird geraten ihren Code auf diese Sicherheitslücke hin zu prüfen.

Gerne stehen wir Ihnen bei weiteren Fragen rund um WordPress und die Sicherheit zur Verfügung.

16. April 2025KI

Prompt Engineering Leitfaden mit Tipps zu ChatGPT, Grok & Neuroflash

Prompt Engineering ist die Kunst und Wissenschaft, präzise und effektive Anweisungen (Prompts) für KI-Modelle wie ChatGPT, Neuroflash oder Grok zu

16. April 2025Security

WordPress 6.8 „Cecil“ ist da – Ein umfassender Überblick über die neuen Funktionen

Am 15. April 2025 wurde WordPress 6.8 veröffentlicht und bringt zahlreiche Verbesserungen in den Bereichen Performance, Sicherheit, Design und Benutzerfreundlichkeit

Weiterlesen
8. April 2025Analyse

Den ROI von KI-Tools messen und maximieren: Ein Leitfaden für Unternehmen

Den ROI von KI-Tools zu messen und maximieren ist für Unternehmen entscheidend, um Investitionen in Künstliche Intelligenz zu rechtfertigen. Wie

Weiterlesen
6. April 2025KI

KI-Tools für Unternehmen: Branchen, Anwendungsbereiche & konkrete Möglichkeiten

Künstliche Intelligenz (KI) ist längst kein Zukunftstraum mehr, sondern ein Werkzeug, das Unternehmen heute nutzen, um effizienter, kreativer und kundenorientierter

Weiterlesen
Zum Inhalt springen