Es gibt aktuell 2 große Sicherheitswarnungen für WordPress. Die Plugins WooCommerce (Shop-Plugin) und WP GDPR Compliance (DSGVO) weisen bei Millionen Installationen ein Sicherheitsproblem auf. 

WordPress WooCommerce-Plugin

Die Sicherheitsmeldung stammt von den Sicherheitsforschern von Ripstech. Damit der Angriff gelingt muss Zugriff auf einen Shop-Manager-Account bestehen. Ist das gegeben, kann der Angreifer über eine Lücke im Plugin, Admin-Accounts verwalten. Der Angriff erfolgt über eine sogenannte File-Deletion-Attacke, bei der der Angreifer wichtige Dateien löschen kann um so seine Rechte auszuweiten. Die tiefere Ursache liegt in der Rechteverwaltung von WordPress und installierten Plugins. 

Die Lücke soll seit der Plugin Version 3.4.6 geschlossen sein. 

WordPress WP GDPR-Plugin

Eine weitere Lücke existiert (e) in dem WP GDPR Compliance Pulgin. Das Plugin soll die Webseite rechtskonform zur DSGVO und somit Abmahnsicher zu gestalten. Die Sicherheitsfirma Wordfence meldet vor wenigen Tagen ein Sicherheitsproblem in diesem Plugin. Demnach kann ein Angreifer sich mit wenigen Schritten zum Administrator machen und somit die Webseite übernehmen. 

Die Lücke soll seit der Plugin Version 1.4.3 geschlossen sein.

Purwin-IT hat bereits mit betroffenen Kunden Kontakt aufgenommen. Sie haben Fragen, dann helfen wir gerne weiter.