security

iThemes Security (Better WP Security) Sicherheitslücke bei den Zugriffsrechten

Im Sicherheitsplugin von iThemes Security (Better WP Security) gibt es ein Problem mit den Zugriffsrechten, dieses wurde Gestern veröffentlicht.

Dadurch ist es möglich, dass ein Angreifer Zugriff auf die Backups und Logfiles erhält.
Diese Daten werden in einem Verzeichnis abgespeichert, welches für jeden lesbar ist

wp-content/uploads/ithemes-security/backups

hier wird zwar ein .htaccess zum Schutz dieser Daten erstellt – aber nur dann, wenn das Verzeichnis bei der Installation schon besteht, das ist in der Regel nicht der Fall!
Wenn ein Backup erstellt wird, dann generiert die ITSEC_Backup Klasse zwar dieses Verzeichnis, aber erstellt keine .htaccess Datei.

Wenn das Directory Listing im Webserver eingeschaltet ist, kann daher jeder auf diese Dateien zugreifen.

Hinzu kommt, dass sich der Dateiname der Sicherung erraten lässt (VIA)

Dieses Problem ist mit Version 5.3.1 gefixt worden!

Solltet ihr noch eine Version kleiner als die 5.3.1 einsetzen – dann bitte unbedingt updaten, das Plugin bietet bereits Version 5.3.6 :)

Diesen Beitrag teilen

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email
Share on whatsapp

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Scroll to Top