Eigentlich sollten zwischenzeitlich alle Benutzer des Visual Composer für WordPress auf die Version 4.7.4, die am 2.10.2015 veröffentlicht wurde, upgedated haben. Wer es noch nicht getan hat sollte das nun dringend nachholen, denn alle Versionen haben gleich mehrere XSS Sicherheitslücken. Leider erwähnt der Entwickler das im Changelog nicht.
Niemand plant einen mehrtägigen Angriff ohne Grund. Folgt man den Worten von Mr. Spock, „wenn man das Unmögliche ausschließt, muss, was auch immer bleibt, die Wahrheit sein“. Nach meinem Beitrag zum Angriff gegen WordPress vom 28.9.2015 habe ich zusätzliche Einsichten gewonnen.
Am 28.9.2015 0:50 Uhr meldete mein Frühwarnsystem vermehrt fehlgeschlagene Anmeldeversuche in WordPress. Was mich dabei beunruhigt ist nicht die Anzahl oder die Art der Aufrufe, sondern die Vorgehensweise, denn die WordPress Sicherheitsplugins schwiegen.
Bereits im September hat Google mitgeteilt, dass man in zukünftigen Versionen des beliebten Browsers Chrome schrittweise die Unterstützung von SSL Zertifikaten, die auf dem SHA-1 Hash-Algorithmus basieren, einstellen wird. Mit der Version 39, die am 18.11.2014 offiziell veröffentlicht wurde, erscheint nun auf vielen Webseiten, die über HTTPS aufgerufen werden, ein gelbes Dreieck auf dem Vorhängeschloss Symbol in der URL Zeile.
Sucuri hat eine Verwundbarkeit im beliebten WordPress Plugin WP eCommerce aufgedeckt. Durch die Sicherheitslücke können zum Beispiel Kunden- und Bestelldaten gestohlen aber auch verändert werden. In der Version 3.8.14.4 wurde das Problem behoben.
