[English]Eines der populärsten "Sicherheits-"Plug-Ins für WordPress, Hide My WP, ist gerade durch eine fette SQL-Injection-Schwachstelle negativ aufgefallen. Ein weiterer Bug ermöglicht es einem Angreifer das Plugin schlicht zu deaktivieren.
Anzeige
Plugin Hide My WP
Plugin Hide My WP ist laut Eigenwerbung der Entwickler das meistverkaufte "Sicherheits"-Plugin für WordPress. Ich habe das Wörtchen "Sicherheits-" in Anführzungszeichen gesetzt, da das Plugin eher als Schlangeöl und Unsicherheitsfaktor zu sehen ist. Das Plugin verspricht WordPress vor Angreifern, Spammern und Theme-Detektoren zu verstecken. Der Entwickler reklamiert über 26.000+ zufriedene Kunden.
Schwachstellen und Bugs im Plugin
Ich bin gerade auf Facebook in einer privaten WordPress-Sicherheitsgruppe auf einen Post von Daniel Ruf gestoßen, der auf die Schwachstelle hinweist. Die Leute von PortSwigger weisen im Blog-Beitrag WordPress security plugin Hide My WP addresses SQL injection, deactivation flaws auf die schweren Schwachstellen hin.
In älteren Versionen von Hide My WP gab es eine schwerwiegende SQL-Injection-Schwachstelle (SQLi) und eine Sicherheitslücke, die es nicht authentifizierten Angreifern ermöglichte, die Software zu deaktivieren. Die inzwischen gepatchten Fehler wurden bei einer Überprüfung mehrerer Plugins auf der Website eines Kunden von Dave Jong, CTO von Patchstack, entdeckt, der WordPress-Websites vor Schwachstellen schützt und eine auf WordPress ausgerichtete Fehlerjagdplattform betreibt.
Die SQL-Injection-Schwachstelle "ist ziemlich schwerwiegend", sagte Jong gegenüber The Daily Swig. "Er erlaubt es jedem, Informationen aus der Datenbank zu extrahieren, es gibt keine Voraussetzungen dafür. Ein Tool wie SQLmap könnte diese Schwachstelle leicht ausnutzen".
Anzeige
Die andere Schwachstelle sei weniger schwerwiegend, könnte aber unter den richtigen Bedingungen dazu führen, dass ein böswilliger Benutzer die Ausnutzung einer anderen Schwachstelle fortsetzt", so Jong weiter. Beide Schwachstellen sind nach Jong "sehr einfach auszunutzen, da sie keine Voraussetzungen erfordern".
Jong hat die Sicherheitslücke entdeckt, den Entwickler des Plugins, wpWave, benachrichtigt und am 29. September 2021 einen "virtuellen Patch" für Premium-Patchstack-Nutzer veröffentlicht. Nachdem wpWave nicht reagierte, alarmierte er am 5. Oktober Envato, den Betreiber des codecanyon.net-Marktplatzes. Binnen weniger Minuten wurde das Plugin umgehend aus dem codecanyon.net-Marktplatz entfernt. wpWave hat dann die Bugs in der am 26. Oktober veröffentlichten Version 6.2.4 von Hide My WP behoben.
Anzeige
Traurig das man dem Entwickler die Grundlage für sein Einkommen entziehen muss damit er überhaupt reagiert. Ist leider nicht der einzige Entwickler der sich bei Problemen nicht meldet oder abtaucht.