Webmaster, die auf ihrer WordPress-Website das Plugin „All in One SEO Pack“ nutzen, sollten schnellst möglich das erschienen Sicherheitsupdate einspielen. Mit einspielen des Sicherheitsupdates wird eine kritische Sicherheitslücke geschlossen über die Angreifer Zugriff auf den Administrator-Account eurer WordPress-Installation erlangen können. Die Sicherheitslücke befindet sich in dem Bereich der Bot-Blocker-Funktion des Plugins.
Mit Hilfe dieser Funktion sollen Spam-Bots frühzeitig erkannt und blockiert werden. Wurde die Einstellung „Track blocked Bots“ aktiviert, protokolliert das System alle Anfragen und stellt diese auf einer separaten HTML-Seite in eurem Dashboard dar. Da bislang keine Filterung der Ausgabe dieser HTML-Seite vom All in One SEO Pack – Plugin vorgenommen wurde, ist es möglich, das Angreifer auf dieser HTML-Seite ihren Schadcode platzieren und er unwissentlich ausgeführt wird.
Die Sicherheitslücke wurde in der Version 2.3.6.1 entdeckt, jedoch können auch ältere Versionen betroffen sein.
Das Update mit der Version 2.3.7 kann über das Dashboard von WordPress installiert werden. Solltet ihr euer System nicht updaten können, sollte zu mindestens die Funktion „Track blocked Bots“ deaktiviert werden.
Zurück zur Übersicht