Zum Artikel-Inhalt springen
Dr. Web Digital Experts-Logo
  • Kostenloser Grundeintrag
  • Ratgeber
  • Auf Dr. Web werben
  • Mein Konto
  • Jobs
  • Alle Digitalagenturen
  • Berlin
  • Hamburg
  • München
  • Köln
  • Frankfurt
  • Stuttgart
  • Düsseldorf
  • Leipzig
  • Dresden
  • Agentur eintragen →
  • × 🍔 schliessen
  • ☰ Menu

Mehr als 4 Millionen Seiten betroffen: Kritische Sicherheitslücke im WPBakery-Plugin

WPBakery ist ein Website-Builder, dem nach Angaben des Herstellers 4,3 Millionen Seitenbetreiber ihr Vertrauen schenken. Das Einfallstor ermöglicht Hackern das Einschleusen von schadhaftem JavaScript-Code über einen Account mit Contributor-Rechten.

Top of the Stack

GeneratePress

GeneratePress ist ein WordPress-Theme, das bekannt ist für seine schlanke und SEO-freundliche und PageSpeed-optimierten Struktur. Mehr erfahren ↗

Elementor

Elementor ist ein Page- & Theme-Builder für WordPress. Mit Elementor kann man individuelle Seiten bauen und Templates anlegen. Mehr erfahren ↗

Sendinblue

Sendinblue ist ein Tool für datenschutz-konforme Marketing-Automation, die viel Zeit spart und die Konversionsraten erhöht. Mehr erfahren ↗

SEOfolgreich

Deine Experten für Local SEO in München. Local SEO richtet sich an lokale Unternehmen, die ihre Sichtbarkeit erhöhen wollen. Mehr erfahren ↗

Entdeckt wurde das Sicherheitsproblem vom Team des WordPress Security-Anbieters Wordfence, die WPBakery bereits Ende Juli  über ihre instabile Plugin-Version informierten. Erst zwei (!) Monate später veröffentlichten die Seitenbäcker mit der 6.4.1 einen Sicherheitspatch. Zu diesem Zeitpunkt dürften bereits einige Websites infiziert gewesen sein, es sei denn, und das ist nun der angenehme Werbepart für Wordfence, die Webmaster hatten auch Wordfence am Start…

Nutzer der Premium-Version wurden unmittelbar nach Entdecken der Sicherheitslücke am 27.7.2020 vor Attacken geschützt, der nicht zahlende Anwender kam erst einen Monat später in diesen Genuss.

Wer ist betroffen?

Betroffen sind alle Seiten, die WPBakery einsetzen und die User-seitige Registrierung von neuen Benutzern erlauben. Anwender, die also per se keine Nutzer-Registrierung in WordPress erlauben, können erst einmal aufatmen.

Zudem gibt es auch Themes, die mit WPBakery erstellt wurden, aber aus Kombabilitätsgründen auf älteren Versionen laufen. Hier wird es vertrackt mit den Theme-Updates und es wäre an der Zeit, über ein neues WordPress-Theme nachzudenken.

Die Schwachstellen

Welche Bugs behoben die Entwickler von WPBakery im Detail? Zuvor existierte eine Schwachstelle, die es Nutzern mit Contributor/Autoren-Rechten erlaubte Schadcode auf Seiten oder in Beiträgen zu platzieren.

Die Schwachstelle ermöglicht das Einfügen von HTML und JavaScript in Beiträge anderer Autoren.

Möglich wurde dieser kriminelle Akt durch die von WPBakery deaktivierten HTML-Filterchecks in der saveAjaxFe in Verbindung mit kses_remove_filters();. Dadurch konnten nicht nur die gebackenen Seiten infiltriert werden, sondern auch Beiträge, die mit dem Classic Editor erstellt wurden.

Über Button-Shortcodes ließ sich ebenfalls schadhaftes Javascript unterjubeln. Ein Klick und der Albtraum beginnt…

Fazit

Also, liebe Unternehmer und privaten Homepagebauer, die ihr auf WPBakery setzt, bitte loggt euch umgehend ein, macht ein Backup vom alten Stand und bringt dann den Website-Builder auf den neuesten Stand. Schaut euch die User-Accounts an und prüft, dass ihr nicht schon Opfer eines Cross-Site Scripting-Angriffs wurdet.

Dazu passt:   Dein WordPress läuft nicht? So behebst du die gängigsten Fehler!

Falls die Alarmglocken schon läuten, dann wendet euch bitte an die Webagentur eures Vertrauens oder versucht in Eigenregie mit einem Service wie Sucuri euer Glück.

Beitragsbild: Nadya Spetnitskaya

Michael Dobler

Michael Dobler

Ich bin der Herausgeber von Dr. Web. Um praxisfit zu bleiben, unterstütze ich darüber hinaus Kunden bei der digitalen Kundengewinnung und Kundenbindung. Erste eigene Gehversuche im Internet unternahm ich 1999 mit einem Kinomagazin. Nach 15 Jahren in Lohn und Brot, u.a. als Projektmanager für digitale Medien, machte ich mich schließlich Ende 2005 selbständig. Das war die beste berufliche Entscheidung meines Lebens.

Neue Agenturen auf Dr. Web

Binary Garden

Hannover

Interstruct Communications AG

Berlin

Die Texterin

Köln

JUNIQUE Design

Bonn

Vogelsang Werbe- und Projektbüro

Hannover

New Era Marketing

Kämpfelbach

Agentur eintragen

3 Antworten

  1. Webdesigner Berlin sagt:
    27. Oktober 2020 um 23:30 Uhr

    Vielen Dank für diesen Artikel. Ich liebe das WPBakery-Plugin und ziehe es dem Elementor vor. Generell zeigt sich, wie wichtig die Wartung von CMS-Internetauftritten ist. Viele Webseitenbetreiber vergessen dies schlichtweg. Gerade Unternehmen sollten einen Administrator anstellen, welcher sich auch um die Aktualisierung der Content Management Systeme kümmern kann.

    Antworten
  2. Visyu Solution sagt:
    12. November 2020 um 13:12 Uhr

    Ehrlich gesagt sehe ich nicht mehr so ganz durch bei WPBakery. Früher war es der Visual Composer, dann der WPBakery Page Builder, jetzt wieder der Visual Composer (und doch ganz anders). Mittlerweile nutzen wir bei uns vermehrt den Elementor, damit arbeitet sich es doch etwas angenehmer. Nur in Fällen – wie auch hier im Artikel erwähnt – wenn es im Theme mitgeliefert wird, setzen wir noch WPBakery ein.

    Antworten
    1. Michael Dobler sagt:
      1. Dezember 2020 um 16:11 Uhr

      Wir setzen ebenfalls auf Elementor und damit auf eine zukunftssichere Lösung, denn die Firma hat bereits eine stabile Basis mit wiederkehrenden Einnahmen. Der richtige Stack für Kundenprojekte und den eigenen Auftritt ist sehr entscheidend was die Wartbarkeit und preiswürdige Weiterentwicklung einer Website angeht. Kunden werden wenig begeistert sein, wenn Sie für einen Theme/Homepage Builder-Wechsel extra bezahlen sollen. Da kann es Unmut geben und man auf einem Teil der Migrationsaufwände sitzen bleiben.

      Antworten

Schreibe einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Passende Beiträge

ein schräger Vogel, das Maskottchen von Filebird.
WordPress

WordPress Mediathek: mit FileBird Medien dank Ordnern effektiver verwalten

In der WordPress Mediathek verwaltest du die auf deiner Website veröffentlichten Media-Dateien wie Bilder und Videos. Die Medienverwaltung erfolgt zentral über das Backend. Was nervt und verwundert: die WordPress Mediathek erlaubt keine Dateiorganisation mit Ordnern. Denn ohne eine gepflegte Medienverwaltung verlieren Webmaster schnell den Überblick. Das WordPress Plugin FileBird macht eine effektive Medienverwaltung möglich.

Weiterlesen »
WordPress

WordPress Staging Server aufsetzen mit WP Staging

WP Staging ist ein WordPress-Plugin, mit dem du im Handumdrehen eine exakte Kopie deiner Live-Website erstellen kannst. Schneller kommst du nicht zu einer funktionierenden Entwicklungsumgebung.

Weiterlesen »
Website - Computer Programm
WordPress

Bilder verwalten mit der WordPress Real Media Library (2020-Update)

WordPress-Nutzer kennen das Problem. Die Medienverwaltung von WordPress erlaubt keine ordentliche Sortierung in Ordnern. Ab etwa einhundert Bildern verlierst du den Überblick. WordPress Real Media

Weiterlesen »
  • Agentur finden
  • Agentur eintragen
  • AGB
  • CSS
  • Datenschutzhinweise
  • Dr. Web Autoren
  • Impressum
  • SEO
  • Webdesign
  • Websites
  • WordPress
  • Nach oben ↑
Menü
  • Agentur finden
  • Agentur eintragen
  • AGB
  • CSS
  • Datenschutzhinweise
  • Dr. Web Autoren
  • Impressum
  • SEO
  • Webdesign
  • Websites
  • WordPress
  • Nach oben ↑
Wir verwenden Cookies, um Besucherzahlen zu messen. Mehr dazu in unserer Datenschutzerklärung. Einverstanden? EinstellungenIch stimme zu
Cookie-Einstellungen

Cookies im Überblick

Wir verwenden Cookies, mit denen wir analysieren und verstehen können, wie Sie diese Website nutzen. Auch kommen technisch notwendige Cookies zum Einsatz, bspw. für den Kunden-Login. Ferner verwenden wir auch Cookies von Drittanbietern. Diese Cookies werden nur mit Ihrer Zustimmung in Ihrem Browser gespeichert. Sie haben auch die Möglichkeit, diese Drittanbieter-Cookies zu deaktivieren. Das Deaktivieren dieser Cookies kann sich jedoch zulasten der Nutzererfahrung auswirken.
Notwendig
immer aktiv

Notwendige Cookies sind unbedingt erforderlich, damit die Website ordnungsgemäß funktioniert. Diese Kategorie enthält nur Cookies, die grundlegende Funktionen und Sicherheitsmerkmale der Website gewährleisten. Diese Cookies speichern keine persönlichen Informationen.

Nicht zwingen notwendige Cookies

Alle Cookies, die für die Funktion der Website nicht unbedingt erforderlich sind und zur Erhebung personenbezogener Daten des Benutzers über Analysen, Anzeigen und andere eingebettete Inhalte verwendet werden, werden als nicht erforderliche Cookies bezeichnet.

SPEICHERN UND AKZEPTIEREN
Das große Dr. Web Icon-Set:
970+ Icons, im SVG-Format
Lade Dir jetzt das Icon-Set
kostenlos herunter ↓

Das große Dr. Web Icon-Set: 970+ Icons, im SVG-Format​

Lade Dir jetzt das Icon-Set
kostenlos herunter ↓

Danke nein, ist nichts für mich.
Invalid email address
Danke dir! Hier ist das Icon-Set:

Hier herunterladen (zip-Datei, 843 kB)

Das große Dr. Web Icon-Set: 970+ Icons, im SVG-Format​

Lade Dir jetzt das Icon-Set
kostenlos herunter ↓

Danke nein, ist nichts für mich.
Invalid email address
Danke dir! Hier ist das Icon-Set:

Hier herunterladen (zip-Datei, 843 kB)