Sicherheit Erweiterungen

Natürlich will ich an dieser Stelle niemandem den Spaß an dieser tollen WordPress-Technik nehmen.

Aber: viele - eigentlich fast alle kommerziellen Themes - bedienen sich sogenannter Framework und greifen somit auf viele zusätzliche Techniken zu oder verändern gar die Kern-Technik von WordPress.

Hier mal eine Meldung zum Thema: Linux Welt 04/2020 - Juni 2020

Wordpress: Angriff per Theme

Ein älteres, aber weit verbreitetes Theme hat Anfang Mai Zehntausende Wordpress-Webseiten verwundbar gemacht:

„Onetone“ (https://mageewp.com/onetone-theme.html) ist aufgrund seines klaren Aufbaus und responsiven Designs beliebt, enthält aber eine Lücke, die per Cross-Site-Scripting Besucher umleitet oder weiteren Schadcode für Browserlücken unterschiebt. Die Entdecker der Lücke fanden das Theme „Onetone“ auf 20 000 Wordpress-Seiten und haben von den Machern des Themes keine Antwort erhalten. Die Lücke geht deshalb ohne Fix an die Öffentlichkeit – mit der Aufforderung, sofort auf ein anderes Theme umzusteigen.

Meldung aus „Linux Welt 04/2020, Seite 19 - Kasten: Sicherheitsnews“

Eine Randnotiz: beim Versuch mehr Infos seiten der Hersteller des Themes über deren Forum zu erhalten war dieses - genau wie der Login-Bereich - nicht erreichbar!

Und ich haue zum aktuellen Seminar im Mai 2023 noch mal einen Elementor Schocker heraus:

Millionen Webseiten betroffen: Kritische Lücke in populärem Wordpress-Plug-in

Auf mehr als einer Million Wordpress-Instanzen läuft Essential Addons for Elementor. Angreifer können durch eine kritische Lücke die Kontrolle übernehmen. Links:

• https://www.heise.de/news/Millionen-Webseiten-betroffen-Kritische-Luecke-in-populaerem-Wordpress-Plug-in-9032312.html

• https://patchstack.com/articles/critical-privilege-escalation-in-essential-addons-for-elementor-plugin-affecting-1-million-sites/

Meldung aus „Heise Online News“

Also nochmals: Bitte sehr aufmerksam den Einsatz von „Tools“ für Ihre WordPress Seiten überwachen/beobachten!