All In One SEO: WordPress-Plugin leidet unter Sicherheitslücken

Millionen Webseiten auf WordPress-Basis verwenden das Plug-in „All in One SEO“. Wie sich nun herausstellt, kann ein einfacher Code dafür sorgen, dass Cyberattacken möglich sind. Ein Update auf eine mittlerweile sichere Version ist angeraten!

Gefährliches Plug-In

Deine Webseite basiert auf WordPress und du nutzt das Plug-In All in One SEO? Dann solltest du dringend die aktuellste Version herunterladen. Schließlich haben sich zwei empfindliche Sicherheitslücken herausgestellt, derer die Entwickler nun endlich Herr geworden sind. Entdeckt wurden die Schwachstellen von IT-Experten von „Jetpack“. Diese beschreiben gleichzeitig wie man unter Ausnutzen der Lücke Zugang zu empfindlichen Daten erhaschen kann. So reicht bereits ein einfacher Subscriber-Account, um selbst einem Otto-Normal-User Zugang zu verschaffen. Dabei konnten die Experten mit einer unkomplizierten Anpassung bei der Anfrage auf Zugriffsberechtigung die entsprechende Prüfung spielend leicht umgehen. Hat das einmal geklappt, kann man direkt auf wichtige Daten der Webseite zugreifen.

Update dringend angeraten!

Neben dieser Lücke gab es noch eine weitere, welche sogenannte SQL-Injection-Attacken ermöglicht. Da man dafür allerdings besondere Rechte benötigt, ergibt sich eine Kombionationsmöglichkeit. So hätten sich Kriminelle zunächst über die erste Sicherheitslücke höhere Nutzerrechte sichern können. Im Schritt zwei hätten sie dann die Attacke vollführen können. Du solltest unbedingt die neueste Version von All in One SEO herunterladen, um dir keine Gedanken über dieses Sicherheitsproblem machen zu müssen.