{"id":259838,"date":"2021-11-26T01:28:22","date_gmt":"2021-11-26T00:28:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259838"},"modified":"2021-12-22T17:29:03","modified_gmt":"2021-12-22T16:29:03","slug":"wordpress-plugin-hide-my-wp-mit-sql-injection-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/26\/wordpress-plugin-hide-my-wp-mit-sql-injection-schwachstelle\/","title":{"rendered":"WordPress Plugin Hide My WP mit SQL-Injection-Schwachstelle"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/07\/wp_thumb.jpg\" alt=\"\" width=\"64\" height=\"64\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/11\/26\/wordpress-plugin-hide-my-wp-mit-sql-injection-schwachstelle\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Eines der popul\u00e4rsten \"Sicherheits-\"Plug-Ins f\u00fcr WordPress, Hide My WP, ist gerade durch eine fette\u00a0 SQL-Injection-Schwachstelle negativ aufgefallen. Ein weiterer Bug erm\u00f6glicht es einem Angreifer das Plugin schlicht zu deaktivieren.<\/p>\n<p><!--more--><\/p>\n<h2>Plugin Hide My WP<\/h2>\n<p>Plugin <a href=\"https:\/\/hidemywp.net\/\" target=\"_blank\" rel=\"nofollow noopener\">Hide My WP<\/a> ist laut Eigenwerbung der Entwickler das meistverkaufte \"Sicherheits\"-Plugin f\u00fcr WordPress. Ich habe das W\u00f6rtchen \"Sicherheits-\" in Anf\u00fchrzungszeichen gesetzt, da das Plugin eher als Schlange\u00f6l und Unsicherheitsfaktor zu sehen ist. Das Plugin verspricht WordPress vor Angreifern, Spammern und Theme-Detektoren zu verstecken. Der Entwickler reklamiert \u00fcber 26.000+ zufriedene Kunden.<\/p>\n<h2>Schwachstellen und Bugs im Plugin<\/h2>\n<p>Ich bin gerade auf Facebook in einer privaten WordPress-Sicherheitsgruppe auf einen Post von Daniel Ruf gesto\u00dfen, der auf die Schwachstelle hinweist. Die Leute von PortSwigger weisen im Blog-Beitrag <a href=\"https:\/\/portswigger.net\/daily-swig\/amp\/wordpress-security-plugin-hide-my-wp-addresses-sql-injection-deactivation-flaws\" target=\"_blank\" rel=\"noopener\">WordPress security plugin Hide My WP addresses SQL injection, deactivation flaws<\/a> auf die schweren Schwachstellen hin.<\/p>\n<p>In \u00e4lteren Versionen von Hide My WP gab es eine schwerwiegende SQL-Injection-Schwachstelle (SQLi) und eine Sicherheitsl\u00fccke, die es nicht authentifizierten Angreifern erm\u00f6glichte, die Software zu deaktivieren. Die inzwischen gepatchten Fehler wurden bei einer \u00dcberpr\u00fcfung mehrerer Plugins auf der Website eines Kunden von Dave Jong, CTO von Patchstack, entdeckt, der WordPress-Websites vor Schwachstellen sch\u00fctzt und eine auf WordPress ausgerichtete Fehlerjagdplattform betreibt.<\/p>\n<p>Die SQL-Injection-Schwachstelle \"ist ziemlich schwerwiegend\", sagte Jong gegen\u00fcber The Daily Swig. \"Er erlaubt es jedem, Informationen aus der Datenbank zu extrahieren, es gibt keine Voraussetzungen daf\u00fcr. Ein Tool wie SQLmap k\u00f6nnte diese Schwachstelle leicht ausnutzen\".<\/p>\n<p>Die andere Schwachstelle sei weniger schwerwiegend, k\u00f6nnte aber unter den richtigen Bedingungen dazu f\u00fchren, dass ein b\u00f6swilliger Benutzer die Ausnutzung einer anderen Schwachstelle fortsetzt\", so Jong weiter. Beide Schwachstellen sind nach Jong \"sehr einfach auszunutzen, da sie keine Voraussetzungen erfordern\".<\/p>\n<p>Jong hat die Sicherheitsl\u00fccke entdeckt, den Entwickler des Plugins, wpWave, benachrichtigt und am 29. September 2021 einen \"virtuellen Patch\" f\u00fcr Premium-Patchstack-Nutzer ver\u00f6ffentlicht. Nachdem wpWave nicht reagierte, alarmierte er am 5. Oktober Envato, den Betreiber des codecanyon.net-Marktplatzes. Binnen weniger Minuten wurde das Plugin umgehend aus dem codecanyon.net-Marktplatz entfernt. wpWave hat dann die Bugs in der am 26. Oktober ver\u00f6ffentlichten Version 6.2.4 von Hide My WP behoben.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Eines der popul\u00e4rsten \"Sicherheits-\"Plug-Ins f\u00fcr WordPress, Hide My WP, ist gerade durch eine fette\u00a0 SQL-Injection-Schwachstelle negativ aufgefallen. Ein weiterer Bug erm\u00f6glicht es einem Angreifer das Plugin schlicht zu deaktivieren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[4328,4349],"class_list":["post-259838","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259838","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259838"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259838\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259838"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259838"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259838"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}