Ein Sicherheitsablauf im WordPress-Plugin von wpDiscuz, der es Hackern ermöglichen kann, problemlos bösartigen Code in jede Website einzuschleusen.
Diese Schwachstelle wurde erstmals von Sicherheitsexperten bei Wordfence entdeckt, die außerdem bestätigen, dass Hacker mit dieser Schwachstelle auch in der Lage sein werden, PHP-Dateien auszuführen und beliebige Dateien auf die Website hochzuladen, auf der dieses Plugin installiert ist.
wpDiscuz bietet eine Alternative zum Kommentarsystem von WordPress, genau wie Jetpack-Kommentare, Disqus oder jedes andere bekannte Kommentar-Plugin.
Diese Sicherheitslücke wurde zuerst von Wordfence entdeckt und wpDiscuz gebeten, sie zu beheben. Nach ein paar Tagen sagten die Entwickler, sie hätten sie behoben. Doch später, im letzten Update des WordPress-Plugins, wurde dieses Problem erneut entdeckt, worauf Wordfence aufmerksam wurde und mitteilte, dass der Patch die Sicherheitslücke derzeit nicht beheben könne.
Das Problem wurde in Version 7 des WordPress-Plugins in der Funktion gefunden, die es Benutzern ermöglicht, Bilder in die Kommentare hochzuladen. Das System kann nicht erkennen, ob es sich bei der Dateierweiterung um ein Bild oder einen Schadcode handelt.
Ab sofort ist es für Webentwickler, die wpDiscuz verwenden, das Beste, davon Abstand zu nehmen, wenn das Plugin nicht innerhalb von 24 Stunden einen Patch erhält, da die Beibehaltung des Plugins Hackern ermöglichen würde, Ihre Websites und alle anderen damit verbundenen Websites zu hacken Der Host ist dem Risiko eines Hackerangriffs ausgesetzt.
Alles ist behoben!
Das Problem ist zu 100 % behoben und wpDiscuz ist sicher.
Sie können dies ignorieren, wenn Sie bereits auf Version 7.0.5 oder höher aktualisiert haben (aktuelle Version ist 7.0.6).
Dies wurde behoben und die neue Version 7.0.5 wurde vor einer Woche veröffentlicht, bevor das Sicherheitsproblem öffentlich bekannt wurde. Mit der aktuellen wpDiscuz-Version gibt es keine Probleme. Es ist jetzt 100 % sicher.
Diese Art von Problemen tritt bei fast allen WordPress-Plugins auf. Es besteht also kein Grund zur Sorge, wenn Sie aktualisiert und auf dem neuesten Stand sind. Aktualisieren Sie einfach Ihre Plugins ständig und stellen Sie sicher, dass Sie die neuesten Versionen verwenden.
Etwa 50 % der wpDiscuz-Benutzer verwenden derzeit 7.xx-Versionen. Es sind etwa 35,000 Websites. 30,000 davon wurden letzte Woche bereits auf sichere Versionen 7.0.5 und höher aktualisiert. Und täglich werden etwa 3,000 Websites aktualisiert.
In zwei Tagen wird es also mit ziemlicher Sicherheit keine Website mit alten unsicheren Versionen 7.0.0 – 7.0.4 mehr geben und fast alle Websites werden auf dem neuesten Stand und sicher sein.
Vielen Dank!
wpDiscuz-Entwickler