Beiträge

security

Im Sicherheitsplugin von iThemes Security (Better WP Security) gibt es ein Problem mit den Zugriffsrechten, dieses wurde Gestern veröffentlicht.

Dadurch ist es möglich, dass ein Angreifer Zugriff auf die Backups und Logfiles erhält.
Diese Daten werden in einem Verzeichnis abgespeichert, welches für jeden lesbar ist

wp-content/uploads/ithemes-security/backups

hier wird zwar ein .htaccess zum Schutz dieser Daten erstellt – aber nur dann, wenn das Verzeichnis bei der Installation schon besteht, das ist in der Regel nicht der Fall!
Wenn ein Backup erstellt wird, dann generiert die ITSEC_Backup Klasse zwar dieses Verzeichnis, aber erstellt keine .htaccess Datei.

Wenn das Directory Listing im Webserver eingeschaltet ist, kann daher jeder auf diese Dateien zugreifen.

Hinzu kommt, dass sich der Dateiname der Sicherung erraten lässt (VIA)

Dieses Problem ist mit Version 5.3.1 gefixt worden!

Solltet ihr noch eine Version kleiner als die 5.3.1 einsetzen – dann bitte unbedingt updaten, das Plugin bietet bereits Version 5.3.6 :)

security

Bei Themes von Elegant Themes gibt es eine Schwachstelle durch die es registrierten Benutzern eines Blogs, egal welche Rolle sie haben, möglich ist, ihr Berechtigung zu erhöhen (Divi und Extra Theme). Dadurch können sie dann verschiedene Aktionen im DIVI Builder durchführen, z.B. Posts manipulieren.

Today our divi builder and plugin options frameworks were updated to fix a security vulnerability. The vulnerability affects several of our themes and plugins

In anderen Plugins wurde eine ähnliche Schwachstelle gefunden, die es Usern erlaubt, Plugin Einstellungen zu ändern.

Betroffen sind:

  • Divi
  • Extra
  • Divi 2.3 (legacy) Themes
  • Divi Builder (Plugin)
  • Bloom (Plugin)
  • Monarch (Plugin)

Wenn ihr eines dieser Themes / Plugins nutzt – und User auf dem Blog habt, welchen ihr nicht traut – dann auf jeden Fall schnell updaten!

Elegant Themes stellt Patche auch allen Usern zur Verfügung, deren Account abgelaufen ist!

Updates gibt es über die Webseite oder das elegant updater plugin.

 

Next Script

NextScripts – eine Alternative zu Jetpack zum automatischen Posten von Beiträgen auf Soziale Netzwerke wie Facebook, Twitter, Google+ und ähnliches, ist von einer XSS Lücke betroffen.

Durch fehlende Überprüfung der Benutzereingaben, ist es möglich eine Attacke auf die Einstellungsseite durch zu führen.

Die Lücke wurde dem Hersteller des Skriptes vor Veröffentlichung mitgeteilt und mit Version 3.4.18 geschlossen – bitte unbedingt updaten falls ihr das Skript nutzt!

VIA

Emoji Disable Plugin

Mit Version 4.2 kamen die Emojis in WordPress. Der Nutzen dieser Dinger ist – ja, sagen wir mal, nicht für jeden gegeben.

Das Problem mit den Emojis ist, dass diese im Core von WordPress enthaltenen kleinen Scheisserchen, bei jedem Seitenaufruf Skripte laden, sowohl im Front- wie auch im Backend. Das obwohl diese für die Seitenausgabe möglicherweise gar nicht benötigt werden, eben weil man gar keine Emojis nutzt. 4.5 KB Müll…
Einige Benutzer klagen auch über längere Ladezeiten – das konnte ich allerdings noch nicht beobachten.

Aus Datenschutzgründen sollte man in der EU auf jeden Fall beachten, dass die Emojis von einem CDN (twemoji.maxcdn.com) in den USA geladen werden. Dieses Laden kann dann zum Benutzer Tracking verwendet werden (ich sage nicht, dass das gemacht wird).

Zum Deaktivieren könnt ihr ein Plugin benutzen, Disable Emojis oder ihr packt den darin enthalten Code in eure functions.php (über den Editor).

Wenn ihr diese Methode benutzt, dann denkt bitte beim aktualisieren eurer Themes oder von WordPress daran, dass ihr das ggf. neu einfügen müsst.

Warum man im Core keine Option hat die Emojis zu deaktivieren, kann ich nicht wirklich verstehen.

Bitte beachtet auch, dass beim deaktivieren der Emojis die Smilies auch nicht mehr korrekt angezeigt werden!