XSS Sicherheitslücke betrifft zahlreiche WordPress Plugins

  • in der Kategorie Security
  • veröffentlicht.
Zoom Sicherheit

WordPress bietet zahlreiche Plugins mit denen die Webseite erweitert werden kann. Einige von ihnen weisen erhebliche Sicherheitslücken auf. Derzeit ist die XSS Sicherheitslücke ein Thema.

XSS steht für Cross-Site-Scripting. Hierbei werden webseitenübergreifend Sicherheitslücken ausgenutzt, indem nicht vertrauenswürdige Inhalte in einen Kontext eingefügt werden, der als vertrauenswürdig gilt. Angreifbar sind viele WordPress Plugins, weil im Code add_query_arg() und remove_query_arg()Funktionen missbraucht werden können.

Die XSS Sicherheitslücke erlaubt es Angreifern, einen eigenen Code auf einer Webseite einzubinden, der interessante Informationen ausliest und diese auf fremde Server weiterleitet. So kann der Angreifer bspw. an Login Daten oder andere sensible Informationen kommen. Die potentielle Gefährdung variiert, da die Funktionen unterschiedlich genutzt wurden. Nicht immer muss die Gefahr hoch sein, sie birgt aber ein Risiko was auf jeden Fall behoben werden sollte.

Welche WordPress Plugins sind betroffen?

Betroffen von der XSS Sicherheitslücke sind/waren bisher folgende WordPress Plugins:

  • All in One SEO
  • Broken-Link-Checker
  • Download Monitor
  • Give
  • Gravity Forms
  • Jetpack
  • Google Analytics by Yoast
  • Multiple Plugins von Easy Digital Plugins
  • Multiple iThemes products including Builder and Exchange
  • My Calender
  • Ninja Forms
  • UpdraftPlus
  • P3 Profiler
  • Related Posts for WordPress
  • WP-E-Commerce
  • WPTouch
  • WordPress SEO

Die meisten Anbieter haben bereits reagiert und bieten Sicherheits-Updates an. Man vermutet aber, dass noch weitere WordPress Plugins betroffen sind.

Was tun gegen Sicherheitslücken in WordPress Plugins?

Zahlreiche Anbieter haben bereits reagiert und die Sicherheitslücke geschlossen.  Daher ist es wichtig, die angebotenen Sicherheits-Updates sofort zu machen. Prüfen Sie daher die Aktualität der WordPress Plugins oder ziehen Sie einen WordPress Service in Betracht. Mit regelmässigen Updates können Schwachstellen behoben werden.

Gerne können Sie uns hierzu kontaktieren.

Grundsätzlich raten wir dazu, immer auf aktuelle Updates beim Theme und Plugin zu achten und die Anzahl der verwendeten Plugins weitestgehend zu minimieren.  Deaktivieren reicht aber nicht aus – die WordPress Plugins müssen gelöscht werden. Auch eingeschränkte Zugriffsrechte der wp-admin-Verzeichnisse können das Risiko minimieren.

Was können Entwickler tun?

Entwickler von WordPress Plugins wird geraten ihren Code auf diese Sicherheitslücke hin zu prüfen.

Gerne stehen wir Ihnen bei weiteren Fragen rund um WordPress und die Sicherheit zur Verfügung.

9. Juni 2025Security

Emailadresse gehackt? Leak Check endlich für deutschsprachigen Raum

Ob in Social Media, Online-Shops oder bei Streamingdiensten – für so gut wie jeden Dienst brauchst du eine E-Mail-Adresse. Doch

8. Juni 2025Allgemein

Von Wabsti zu Voting: Das neue System zur Wahlauswertung in der Schweiz

Im Kanton Zürich kam bei drei Urnengängen im September und November 2024 sowie im Februar 2025 erstmals die neue Applikation

Weiterlesen
4. Juni 2025Security

Immobilienbetrug online: Vorsicht vor gefälschten Inseraten und Fake-Verkäufern

Immobilienbetrug im Netz ist kein Einzelfall, sondern ein weit verbreitetes Phänomen – und es betrifft nicht nur Mietwohnungen, sondern auch

Weiterlesen
2. Juni 2025Marketing

Das Markenrecht bei KI-generierten Logos

Ein Firmenlogo ist das erste, was Kunden mit einer Marke verbinden – und dank Künstlicher Intelligenz lassen sich heute in

Weiterlesen
Zum Inhalt springen