Skip to content
Dr. Web Logo seit 1997.
  • Beste Agenturen
  • Magazin
  • Newsletter 📩
  • Login
  • Agentur eintragen ✅
  • Kontakt
  • Werben 🎉
  • Sponsored Post
  • Jobs
Menü
  • Beste Agenturen
  • Magazin
  • Newsletter 📩
  • Login
  • Agentur eintragen ✅
  • Kontakt
  • Werben 🎉
  • Sponsored Post
  • Jobs
  • Werben
  • Gastbeitrag
  • Sponsored Post
  • Kontakt
  • Anmeldung
  • Newsletter
Suche
  • Beste Agenturen
  • Magazin
  • Agentur-Standorte
    • Berlin

    • Bonn

    • Dortmund

    • Dresden

    • Duisburg

    • Düsseldorf

    • Essen

    • Frankfurt am Main

    • Freiburg

    • Hamburg

    • Hannover

    • Köln

    • Leipzig

    • München

    • Nürnberg

    • Stuttgart

    • Wien

    • Zürich

  • Smarte Agenturköpfe
  • Magazin
    • Content Marketing
    • CSS
    • E-Commerce
    • E-Mail-Marketing
    • Freelancer
    • Fotografie
    • HTML
    • Online-Marketing
    • Responsive Design
    • SEO
    • UX Design
    • Webdesign
    • Website erstellen
    • WordPress
    • Dr. Web Autoren
  • Jobs
Agentur eintragen →
Dr. Web Logo seit 1997.
  • Agentur finden
  • Magazin
Agentur eintragen →
Dr. Web » WordPress » Mehr als 100.000 Seiten betroffen: Sicherheitslücke in SEOPress

Mehr als 100.000 Seiten betroffen: Sicherheitslücke in SEOPress

SEOPress ist ein SEO-Plugin, welchem nach Angaben des Herstellers 100.000 Seitenbetreiber ihr Vertrauen schenken. Das Einfallstor ermöglicht Hackern das Einschleusen von schadhaftem JavaScript-Code und die Erstellung von Admin-Konten.

Sozial sein
Facebook Icon. facebook Twitter Icon. twitter Xing Icon. xing Linkedin Icon. linkedin Whatsapp Icon. whatsapp
  • 3 Kommentare
Lesedauer: 2 Minuten
  • von Michael Dobler
  • 17. August 2021

[17. August 2021] Entdeckt wurde das Sicherheitsproblem von Wordfence. Nur wenige Tage später hat der SEOPress-Entwickler daraufhin einen Sicherheitspatch (Version 5.0.4) veröffentlicht.

Betroffen sind Nutzer der SEOPress Version 5.0.0 – 5.0.3, welche dringend das Plugin bei ihren Kunden aktualisieren sollten. Nutzer, die noch auf Version 4.x unterwegs sind, sind nicht von der Sicherheitslücke betroffen.

Die Sicherheitslücke ermöglicht es Angreifern, über die REST-API Änderungen am Meta Title und an der Meta Description eines Beitrags vorzunehmen.

Fazit

Also, liebe Unternehmer und Agenturen, die ihr auf SEOPress setzt, bitte loggt euch umgehend ein, macht ein Backup vom alten Stand und aktualisiert dann das Plugin. Schaut euch die User-Accounts an und prüft, dass ihr nicht schon Opfer eines Cross-Site Scripting-Angriffs wurdet.

Mehr als 4 Millionen Seiten betroffen: Kritische Sicherheitslücke im WPBakery-Plugin

[8. Oktober 2020] Entdeckt wurde das Sicherheitsproblem vom Team des WordPress Security-Anbieters Wordfence, die WPBakery bereits Ende Juli  über ihre instabile Plugin-Version informierten. Erst zwei (!) Monate später veröffentlichten die Seitenbäcker mit der 6.4.1 einen Sicherheitspatch. Zu diesem Zeitpunkt dürften bereits einige Websites infiziert gewesen sein, es sei denn, und das ist nun der angenehme Werbepart für Wordfence, die Webmaster hatten auch Wordfence am Start…

Nutzer der Premium-Version wurden unmittelbar nach Entdecken der Sicherheitslücke am 27.7.2020 vor Attacken geschützt, der nicht zahlende Anwender kam erst einen Monat später in diesen Genuss.

Wer ist betroffen?

Betroffen sind alle Seiten, die WPBakery einsetzen und die User-seitige Registrierung von neuen Benutzern erlauben. Anwender, die also per se keine Nutzer-Registrierung in WordPress erlauben, können erst einmal aufatmen.

Zudem gibt es auch Themes, die mit WPBakery erstellt wurden, aber aus Kombabilitätsgründen auf älteren Versionen laufen. Hier wird es vertrackt mit den Theme-Updates und es wäre an der Zeit, über ein neues WordPress-Theme nachzudenken.

Die Schwachstellen

Welche Bugs behoben die Entwickler von WPBakery im Detail? Zuvor existierte eine Schwachstelle, die es Nutzern mit Contributor/Autoren-Rechten erlaubte Schadcode auf Seiten oder in Beiträgen zu platzieren.

Die Schwachstelle ermöglicht das Einfügen von HTML und JavaScript in Beiträge anderer Autoren.

Möglich wurde dieser kriminelle Akt durch die von WPBakery deaktivierten HTML-Filterchecks in der saveAjaxFe in Verbindung mit kses_remove_filters();. Dadurch konnten nicht nur die gebackenen Seiten infiltriert werden, sondern auch Beiträge, die mit dem Classic Editor erstellt wurden.

Über Button-Shortcodes ließ sich ebenfalls schadhaftes Javascript unterjubeln. Ein Klick und der Albtraum beginnt…

Michael Dobler

Michael Dobler

Ich bin der Herausgeber von Dr. Web. Um praxisfit zu bleiben, unterstütze ich darüber hinaus Kunden bei der digitalen Kundengewinnung und Kundenbindung. Erste eigene Gehversuche im Internet unternahm ich 1999 mit einem Kinomagazin. Nach 15 Jahren in Lohn und Brot, u.a. als Projektmanager für digitale Medien, machte ich mich schließlich Ende 2005 selbständig. Das war die beste berufliche Entscheidung meines Lebens.
Sponsor. Du bist auch interessiert? Kontaktiere uns →
Kostenloses SEO-Tool. Werbung für die OSG Performance Suite.

Jobs

Full Stack Developer SW Prototyping

Berlin

Lead Entwickler Mobile mit Fokus iOS-Entwicklung

Karlsruhe

Grafik-Designerin

Freiburg im Breisgau

Sprachtalente

Volkach oder Würzburg

Zum richtigen Job

Agenturpartner

dskom direktmarketing agentur berlin.

dskom GmbH (SEO Profi Berlin)

Berlin

Homepage Hexxer Logo der Webdesign Agentur aus Balingen.

HOMEPAGE HEXXER

Balingen

One Step Webdesign hannover Logo

One Step Webdesign

Hannover

Netzhelfer Agentur Ostfildern Stuttgart Logo. Die Partner für das Internet.

NETZhelfer GmbH

Ostfildern

Arit Services Logo.

ARIT Services GmbH

Laatzen

Alle Agenturpartner

Lust auf mehr? Wir empfehlen folgende Artikel:

WordPress und HTTP/2 – eine Einführung

Im Mai 2015 wurde HTTP/2 als neuer Standard verabschiedet. Die Vorteile von HTTP/2 sind enorm, allerdings ist die Nutzbarkeit noch nicht ganz so einfach, wie

 →   

WordPress Performance: Was Websites wirklich schnell macht

WordPress ist das beliebteste Content Management System auf unserem Planeten. Die Vorteile überzeugen und die Möglichkeiten damit sind gigantisch. In Punkto Ladezeit solltest du WordPress allerdings ein wenig unterstützen, da das System standardmäßig nicht ganz so flott unterwegs ist.

 →   

Shopify Themes: Welches Lookbook Theme ist das beste?

Anzeige Wenn es um Mode geht, ist die richtige Präsentation von Mode & Kleidung das A & O. Wir fühlen uns eher von Produkten angezogen, die mit Liebe zum Detail präsentiert werden, als von Produkten, die allzu trist und schlicht aussehen — gleich ob in einem stationären Geschäft oder online.

 →   

3 Antworten zu „Mehr als 100.000 Seiten betroffen: Sicherheitslücke in SEOPress“
— was ist Deine Meinung?

  1. Visyu Solution sagt:
    12. November 2020 um 13:12 Uhr

    Ehrlich gesagt sehe ich nicht mehr so ganz durch bei WPBakery. Früher war es der Visual Composer, dann der WPBakery Page Builder, jetzt wieder der Visual Composer (und doch ganz anders). Mittlerweile nutzen wir bei uns vermehrt den Elementor, damit arbeitet sich es doch etwas angenehmer. Nur in Fällen – wie auch hier im Artikel erwähnt – wenn es im Theme mitgeliefert wird, setzen wir noch WPBakery ein.

    Antworten
    1. Michael Dobler sagt:
      1. Dezember 2020 um 16:11 Uhr

      Wir setzen ebenfalls auf Elementor und damit auf eine zukunftssichere Lösung, denn die Firma hat bereits eine stabile Basis mit wiederkehrenden Einnahmen. Der richtige Stack für Kundenprojekte und den eigenen Auftritt ist sehr entscheidend was die Wartbarkeit und preiswürdige Weiterentwicklung einer Website angeht. Kunden werden wenig begeistert sein, wenn Sie für einen Theme/Homepage Builder-Wechsel extra bezahlen sollen. Da kann es Unmut geben und man auf einem Teil der Migrationsaufwände sitzen bleiben.

      Antworten
  2. Webdesigner Berlin sagt:
    27. Oktober 2020 um 23:30 Uhr

    Vielen Dank für diesen Artikel. Ich liebe das WPBakery-Plugin und ziehe es dem Elementor vor. Generell zeigt sich, wie wichtig die Wartung von CMS-Internetauftritten ist. Viele Webseitenbetreiber vergessen dies schlichtweg. Gerade Unternehmen sollten einen Administrator anstellen, welcher sich auch um die Aktualisierung der Content Management Systeme kümmern kann.

    Antworten

Schreibe einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Dr. Web Logo weiss.

Pionier für Digitale Transformation. Seit 1997. ✅  Wissen, Tipps, Ratgeber, Dienstleister: Wir bringen wir die digitale Transformation von Unternehmen praxisnah voran.

Wissen finden

  • Dr. Web Autoren
  • Amazon SEO
  • Content Marketing
  • CMS
  • CSS
  • Digitalisierung
  • E-Commerce
  • Freelancer
  • Jobs
  • Online-Marketing
  • SEO
  • UX Design
  • Webdesign
  • Website erstellen
  • WordPress
  • WooCommerce
Menü
  • Dr. Web Autoren
  • Amazon SEO
  • Content Marketing
  • CMS
  • CSS
  • Digitalisierung
  • E-Commerce
  • Freelancer
  • Jobs
  • Online-Marketing
  • SEO
  • UX Design
  • Webdesign
  • Website erstellen
  • WordPress
  • WooCommerce

Rechtliches

  • Datenschutzerklärung
  • Geschäftsbedingungen (AGB)
  • Impressum
  • Kontakt
  • Nach oben ↑
Menü
  • Datenschutzerklärung
  • Geschäftsbedingungen (AGB)
  • Impressum
  • Kontakt
  • Nach oben ↑

Für Unternehmen: Agenturen finden in…

  • Augsburg
  • Basel
  • Berlin
  • Bielefeld
  • Bochum
  • Bonn
  • Bremen
  • Darmstadt
  • Dortmund
  • Dresden
  • Duisburg
  • Düsseldorf
  • Essen
  • Esslingen
  • Freiburg im Breisgau
  • Gelsenkirchen
  • Hamburg
  • Hannover
  • Ingolstadt
  • Innsbruck
  • Frankfurt am Main
  • Karlsruhe
  • Köln
  • Leipzig
  • Mainz
  • Mannheim
  • München
  • Nürnberg
  • Potsdam
  • Regensburg
  • Reutlingen
  • Salzburg
  • Stuttgart
  • Wien
  • Wuppertal
  • Zürich
Menü
  • Augsburg
  • Basel
  • Berlin
  • Bielefeld
  • Bochum
  • Bonn
  • Bremen
  • Darmstadt
  • Dortmund
  • Dresden
  • Duisburg
  • Düsseldorf
  • Essen
  • Esslingen
  • Freiburg im Breisgau
  • Gelsenkirchen
  • Hamburg
  • Hannover
  • Ingolstadt
  • Innsbruck
  • Frankfurt am Main
  • Karlsruhe
  • Köln
  • Leipzig
  • Mainz
  • Mannheim
  • München
  • Nürnberg
  • Potsdam
  • Regensburg
  • Reutlingen
  • Salzburg
  • Stuttgart
  • Wien
  • Wuppertal
  • Zürich

Für Agenturen

  • Als Agentur eintragen
  • Beste Agenturen finden
  • Digitalagentur finden
  • Webdesign-Agentur finden
  • Werbeagentur finden
Menü
  • Als Agentur eintragen
  • Beste Agenturen finden
  • Digitalagentur finden
  • Webdesign-Agentur finden
  • Werbeagentur finden
Das große Dr. Web Icon-Set: 970+ Icons, im SVG-Format​

Lade Dir jetzt das Icon-Set
kostenlos herunter ↓

Über 970 Dr. Web-Icons, kostenlos.
Danke nein, ist nichts für mich.
Invalid email address
Vielen Dank! Bitte schau noch in Dein Postfach und bestätige die Anmeldung.