WordPress Security deaktiviert zehn WordPress-Plugins für E-Commerce-Webseiten. Entwickler haben nicht mit Patches auf Sicherheitslücken reagiert.

Kürzlich fand das Forschungsteam von ThreatPress (WordPress Security) ernsthafte Sicherheitsprobleme in zehn WordPress-Plugins, die von dem Hersteller MULTIDOTS Inc. entwickelt wurden. Vor allem die Plugins, die von WooCommerce unterstützt werden, könnten über ihre Sicherheitslücken zu einer echten Bedrohung für alle Online-Shops werden.

Die Experten identifizierten unter anderem Cross-Site-Request-Forgery (CSRF), Cross-Site-Scripting (XSS) und SQL-Injection-Schwachstellen, die jeder Hacker zum Hochladen von Keyloggern, Crypto-Minern, Shells sowie anderer bösartiger Software ausnützen könnte.

WordPress schloss alle fehlerhaften Multidots-Plugins

Theadpress hat MULTIDOTS Inc. vor ca. einem Monat zu den Schwachstellen und damit entstehenden Risiken informiert. Allerdings haben die Hersteller wenig bis gar nicht reagiert. Theadpress war das nicht ausreichend und reagierte prompt mit der Deaktivierung der anfälligen WordPress-Plugins.

ThreatPress zeigt damit, wie effizient WordPress vorgeht, um die Sicherheit seiner Benutzer zu gewährleisten.

Bild des entsprechenden Plugins aus dem Wordpress Extensions Directory

Bild: blog.threatpress.com – Plugin Sicherheitslücken

Fazit: Hier hat das Security-Team von WordPress schnell reagiert, aber trotzdem gibt es ein großes Problem. Die deaktivierten Plugins haben fast 20.000 aktive Installationen. Es gibt keine Möglichkeit, alle Benutzer dieser Plugins über die Bedrohung zu informieren. WordPress informiert zwar über verfügbare Updates, leider aber nicht über geschlossene bzw. fehlerhafte Plugins.

Update: Mittlerweile hat der Hersteller Multidots reagiert, anfälligen Plugins überarbeitet und im WordPress-Portal zum Download bereitgestellt. Nutzer veralteter Versionen sind angehalten, umgehend die aktuellen Updates in ihrem Content Management System einzuspielen. Download Multdots-Plugins >>

Bilder: blog.threatpress.com