Beiträge

Visual Composer XSS Sicherheitslücken

Eigentlich sollten zwischenzeitlich alle Benutzer des Visual Composer für WordPress auf die Version 4.7.4, die am 2.10.2015 veröffentlicht wurde, upgedated haben. Wer es noch nicht getan hat sollte das nun dringend nachholen, denn alle Versionen haben gleich mehrere XSS Sicherheitslücken. Leider erwähnt der Entwickler das im Changelog nicht.

WordPress Botnet Angriff der besonderen Art

Niemand plant einen mehrtägigen Angriff ohne Grund. Folgt man den Worten von Mr. Spock, „wenn man das Unmögliche ausschließt, muss, was auch immer bleibt, die Wahrheit sein“. Nach meinem Beitrag zum Angriff gegen WordPress vom 28.9.2015 habe ich zusätzliche Einsichten gewonnen.

WordPress Angriff und das Sicherheitsplugin schweigt

Am 28.9.2015 0:50 Uhr meldete mein Frühwarnsystem vermehrt fehlgeschlagene Anmeldeversuche in WordPress. Was mich dabei beunruhigt ist nicht die Anzahl oder die Art der Aufrufe, sondern die Vorgehensweise, denn die WordPress Sicherheitsplugins schwiegen.

Google Chrome zukünftig ohne SHA-1

Bereits im September hat Google mitgeteilt, dass man in zukünftigen Versionen des beliebten Browsers Chrome schrittweise die Unterstützung von SSL Zertifikaten, die auf dem SHA-1 Hash-Algorithmus basieren, einstellen wird. Mit der Version 39, die am 18.11.2014 offiziell veröffentlicht wurde, erscheint nun auf vielen Webseiten, die über HTTPS aufgerufen werden, ein gelbes Dreieck auf dem Vorhängeschloss Symbol in der URL Zeile.

WP eCommerce Sicherheitslücke aufgedeckt

Sucuri hat eine Verwundbarkeit im beliebten WordPress Plugin WP eCommerce aufgedeckt. Durch die Sicherheitslücke können zum Beispiel Kunden- und Bestelldaten gestohlen aber auch verändert werden. In der Version 3.8.14.4 wurde das Problem behoben.