Wer das SEO Plugin All in One SEO Pack für Wordpress verwendet, sollte dringend das neuste Update installieren. Eine schwerwiegenede Sicherheitslücke wurde in Version 2.3.6.1 entdeckt. Frühere Versionen des beliebten SEO Plugins sind ebenfalls betroffen. Ab der Version 2.3.7 ist die Sicherheitslücke geschlossen.
Die Lücke ermöglicht es dem Angreifer sich einen direkten Admin Zugang auf eure Wordpress Installation zu schaffen, ohne dass er einen Benutzernamen oder Passwort benötigt. D.h. er erhält die alle Administratorrechte für die komplette Webseite.
Gefunden hat diese Lücke in dem Wordpress Plugin der Sicherheitsexperte David Vaartjes. Die genaue Beschreibung bzw. Details zur Sicherheitslücke finden sich hier: [All in One SEO PACK Cross-Site Scripting]
Track Blocked Bots als Einfallstor
Als Einfallstor wird die Funktion des Track Blocked Bots genutzt, welcher dazu dient Spam-Bots zu erkennen und zu blockieren. Ist die Funktion Track Blocked Bots aktiviert, werden alle Aktivitäten protokolliert und in einer HTML-Seite im Dashboard angezeigt. Hier nutzt die Sicherheitslücke aus, dass jeder Code angezeigt wird, ohne vorher gefiltert zu werden. So war es möglich JavaScript-Code einzuschleußen und diesen ausführen zu lassen. Dies geschieht automatisch bei dem Abruf vom Dashboard.
Sollte das Update 2.3.7 von All in One SEO Pack noch nicht ausgeführt sein, sollte dies dringend nachgeholt werden. Ist das Update nicht möglich, sollte die Track-Blocked-Bots Funktion im All in One SEO Pack für Wordpress deaktiviert werden.
Sollten Sie Hife beim Update oder Sicherung Ihres Blogs brauchen, wenn Sie sich an uns: [Kontakt]
Kommentare