Kritische Lücken in PHP Everywhere erlauben WordPress-Übernahme

Durch eine kritische Sicherheitslücke in dem Plugin PHP Everywhere hätten Angreifer beliebigen Code in WordPress-Instanzen ausführen können. Ein Update des Plugins steht zum Update bereit. Sicherheitslücken im Plug-in PHP Everywhere, das auf über 30.000 WordPress-Seiten installiert wurde, erlauben Angreifern das Einschleusen von Schadcode. Sie könnten dadurch die WordPress-Seiten übernehmen. Dazu reichen die Rechte eines normalen Nutzers aus, bestätigt das IT-Sicherheitsunternehmen Wordfence. Die Plug-in-Entwickler haben die Lücken jetzt mit einer aktualisierten Version geschlossen. Es gab mehrere Sicherheitslücken in dem Plugin Insgesamt listen die Forscher in der Sicherheitsmeldung dazu sogar drei Sicherheitslücken auf. Die erste machte es allen angemeldeten Nutzern möglich, über Shortcodes beliebigen Code einzuschleusen (CVE-2022-24663, CVSS 9.9, Risiko kritisch). Diese Shortcodes sind Funktionen, die WordPress zum Beispiel in Tabellen oder Bildergalerien anbietet. So hätten Angreifer zum Beispiel mit dem Shortcode „php_everywhere“ beliebiges PHP ausführen lassen und damit die WordPress-Installation übernehmen können: „php_everywhere]<beliebiges PHP>[/php_everywhere“. Für das Ausnutzen der zweiten Schwachstelle waren allerdings Contributor-Rechte nötig. Damit konnten Angreifer einen Post erstellen, beliebigen PHP-Code in die PHP Everywhere Metabox einfügen und den Code dann durch das Öffnen der Vorschau ausführen lassen köännen (CVE-2022-24664, CVSS 9.9, kritisch). Die dritte Sicherheitslücke steckt in PHP Everywheres  Block des Standard-Editors von PHP Gutenberg, den Nutzer mit Contributor-Rechten genauso missbrauchen könnten (CVE-2022-24665, CVSS 9.9, kritisch). Das Update sollte zügig installiert werden Es ist noch nicht klar, [...]

2022-02-10T11:51:03+02:00Februar 10th, 2022|CSS, PHP, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Kritische Lücken in PHP Everywhere erlauben WordPress-Übernahme
Weiterlesen

Auch Google will IndexNow jetzt testen

Microsoft und Yandex haben mit IndexNow eine Initiative zur Entlastung von Suchmaschinen gestartet. Google steht dem Projekt mittlerweile wohl offen gegenüber, denn der Suchmaschinenriese will IndexNow jetzt auch testen. Zunächst hatten sich nur Microsoft und Yandex für diese Initiative zusammengetan, mit der Webmaster neue Inhalte einfacher an die Suchmaschinen melden können. Außerdem soll mit dem Protokoll die Indizierung der Inhalte beschleunigt werden, denn meist bilden die Crawler bei der zügigen Indizierung neuer Inhalte den Flaschenhals. Deshalb soll das neue Protokoll an dieser Stelle für Entlastung sorgen. Eine Lösung für WordPress ist in der Diskussion Ein weiterer geeigneter Partner für IndexNow könnte auch das meistgenutzte CMS der Welt WordPress sein. Mit diesem CMS arbeiten momentan knapp 43 Prozent aller Websites . Deshalb wäre es für das Projekt recht wichtig, dass auch das führende CMS bei IndexNow mit dabei ist. Für WordPress hat Microsoft schon eine Code-Lösung vorgeschlagen, aber einem der leitenden Entwickler bei WordPress scheint es ni8cht zu gefallen, dass der Code in den WordPress-Core integriert werden soll – er schlägt stattdessen eine Plugin-Lösung vor…

2021-11-12T10:20:16+02:00November 12th, 2021|CMS, Coding, Webwerkzeuge|Kommentare deaktiviert für Auch Google will IndexNow jetzt testen
Weiterlesen

Sicherheitsupdate für WordPress-Plugin „WP Fastest Cache“

Das Plugin WP Fastest Cache verkürzt die Ladezeiten von Websites mit dem beliebten Content Management System (CMS) WordPress, bot aber Angriffsmöglichkeiten für Cross-Site-Scripting (XSS) und SQL Injection. Deshalb gibt es jetzt für die mehr als eine Million Nutzer des Cache-Plugins ein Update zum Download: WP Fastest Cache 0.9.5 entschärft die in allen früheren Versionen vorhandenen Sicherheitsprobleme. Wer das Plugin nutzt und noch nicht aktualisiert hat, sollte das jetzt möglichst bald nachholen. Die Entdecker der Sicherheitslücken stufen das Risiko als "hoch" bis "kritisch" ein. Die abgesicherte neue Version steht seit letzter Woche auf der Download-Site von WP Fastest Cache zum kostenlosen Download bereit. Zwei Wege zum unbefugten Zugriff In einem Blogeintrag der Firma Jetpack finden sich Details zu den beiden Schwachstellen, die interessanterweise ein und dieselbe CVE-ID (CVE-2021-24869), aber unterschiedliche Beschreibungen und CVSS-Scores (7.7/"High" bzw. 9.6/"Critical") haben. Der Score 7.7 bezieht sich auf eine SQL-Injection-Lücke, die aber nur unter bestimmten Voraussetzungen genutzt werden kann: Der Angreifer muss als "normaler" Nutzer angemeldet sein und in der angegriffenen WP-Installation muss gleichzeitig auch das Plugin "Classic Editor" installiert sein. Wenn diese Voraussetzungen vorliegen, ist das Abgreifen sensibler Daten wie etwa Nutzernamen in Kombination mit Passwort-Hashes möglich. Die zweite, mit 9.6 bewertete Angriffsmöglichkeit besteht auch ohne diese Einschränkungen, braucht dafür aber eine Nutzerinteraktion mit der Website: Im Rahmen eines sogenannten Cross-Site-Request-Forgery-Angriffs [...]

2021-10-19T07:08:12+02:00Oktober 19th, 2021|Coding, PHP, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate für WordPress-Plugin „WP Fastest Cache“
Weiterlesen

Upload aller Dateitypen in WordPress

Wer schon einmal versucht hat, beispielsweise eine gepackte RAR-Datei in die Mediathek einer WordPress-Installation hochzuladen. Könnte sich dabei die Fehlermeldung „Dieser Dateityp ist aus Sicherheitsgründen leider nicht erlaubt“ eingefangen haben. Wenn man solche Dateien nutzen möchte, zum Beispiel, um sie als Download anzubieten, kann man sie eigentlich nur noch manuell mit einem FTP-Programm in das richtige Verzeichnis übertragen. Dabei sollte man auch den Eigentümer (User:Group) korrekt setzen. Uploads in der Konfigurationsdatei freigeben Wer regelmäßig solche Dateien anbieten muss, hat aber alternativ die Möglichkeit, in der Konfigurationsdatei „wp-config.php“ im Hauptverzeichnis von Wordpress den Upload für alle Dateitypen freizugeben. Zu diesem Zweck fügt man die Zeile define( 'ALLOW_UNFILTERED_UPLOADS', true ); in diese Datei ein. Danach klappt es dann aber auch mit dem Upload eines RAR-Archivs direkt über die Mediathek.

2018-12-15T00:41:57+02:00Dezember 15th, 2018|Bildbearbeitung, Coding, PHP, Webwerkzeuge|Kommentare deaktiviert für Upload aller Dateitypen in WordPress
Weiterlesen

Die Werkzeugkästen der drei großen Browser

Die führenden modernen Browser von Googles Chrome über Mozillas Firefox bis zum Microsoft-Browser Edge haben alle einen Werkzeugkasten mit dabei, der hauptsächlich für die Ersteller von Internetseiten gedacht ist. Die Entwickler können mit den darin vorhandenen Tools zum Beispiel Fehler in ihren JavaScript-Skripten aufspüren oder herausfinden, ob Performance-Probleme die zügige Darstellung ihrer Anwendungen ausbremsen und vor allem, welche Komponente oder Funktion das auslöst. Die Toolboxen sind auch für Normalos hilfreich Allerdings lohnt es sich durchaus auch für Otto Normalsurfer, sich die Entwicklertools anzuschauen. Und auch für Webseiten-Betreiber ist es eine gute Idee, mithilfe des Werkzeugkastens seines Browsers herauszufinden, warum das Schloss vor der URL-Eingabe plötzlich nicht mehr grün und geschlossen ist und die angezeigte Internetseite als „unsicher“ angeprangert wird. Das passiert zum Beispiel bei Blogs auf Basis des CMS Wordpress in der Regel, wenn ein neu angelegter und illustrierter Artikel ein Bild enthält, das nicht mit https://meineseite.de, sondern mit http://meineseite.de aufgerufen wird. Bei Googles Chrome ruft man einfach mit F12 den Werkzeugkasten auf, klickt auf den Menüpunkt „Console“ und sieht im Klartext, welches Bild das verursacht. Dann noch schnell das fehlende „s“ in dem Link beseitigen, und schon verschwindet die Sicherheitswarnung und das Schloss geht wieder zu. Aufruf der Werkzeugkästen immer mit F12 Der Aufruf des [...]

2018-12-02T08:31:48+02:00Dezember 2nd, 2018|Bildbearbeitung, Browser, CMS, Coding, Javascript, Webwerkzeuge|Kommentare deaktiviert für Die Werkzeugkästen der drei großen Browser
Weiterlesen

GIMP 2.10 – kostenlose Konkurrenz für Photoshop

Nach sechs Jahren Entwicklungszeitist die freie Bildbearbeitungssoftware GIMP jetzt in der neuen Hauptversion 2.10 erschienen. Und es scheint, als könne das neue GIMP am High-End selbst dem Platzhirschen Konkurrenz machen - und selbst für den einfachen WordPress-Blogger ist das kostenlose Programm zur Bearbeitung von Artikelbildern durchaus zu empfehlen. GIMP 2.10 greift Platzhirsch Photoshop an Um diesem Ziel näher zu kommen, hat das Entwicklerteam der Open-Source-Software mit GIMP 2.10 das bisher umfangreichste Update in der Geschichte der Bildbearbeitungssoftware veröffentlicht. Anhänger des freien Bildeditors können sich über eine komplett überarbeitete Oberfläche, leistungsfähige Technik unter der Haube, verbesserte Werkzeuge, ein neuesFarbmanagement und vieles mehr freuen. Zunächst steht die neue Version von GIMP für Windows und für Linux zum Download bereit. Das Update für die Mac-Version soll später nachfolgen. Neuer Motor für GIMP 2.10 Die zentrale Änderung von GIMP 2.10 steckt dabei unter der Haube: Mit dem Update haben die Entwickler die Grafiklösung nahezu vollständig auf die Bildverarbeitungs-Engine GEGL portiert. Die vorher genutzte Technik hatte schon an die 20 Jahre auf dem Buckel und wurde jetzt ersetzt. Zu den wichtigsten Vorteilen der neuen Grafikbibliothek gehört unter anderem auch die Bearbeitung von Belichtung, Farbe, Helligkeit, Kontrast und Sättigung mit bis zu 32 Bit Farbtiefe pro Kanal. Dabei  rechnete die alte Version noch mit maximal 8 [...]

2018-10-05T10:25:39+02:00Oktober 5th, 2018|Bildbearbeitung, Webwerkzeuge|1 Kommentar
Weiterlesen

Microsoft gibt seine Marke Visual Studio auf

Wenn WordPress und andere CMS für die Realisierung von Internetseiten nicht mehr ausreichen, landet man recht schnell bei Microsofts Programmierumgebung Visual Studio. Allerdings wird gerade aus der Microsoft-Marke Visual Studio offenbar ein Teil der Microsoft-Cloud Azure, zumindest zu Teilen. Azure Devops nennt sich der neue bzw. umbenannte Microsoft-Dienst für Entwicklerteams. Die fünf Komponenten von Azure Devops Azure Devops  ist an Visual Studio Team Services (VSTS) angelehnt und teilt sich in fünf Hauptkomponenten auf, die der Softwareriese in seinem entsprechenden Blogeintrag mit einem dazugehörigen Video beschreibt: Azure Pipelines, Azure Boards, Azure Artifacts, Azure Repos und Azure Test Plans. Diese Dienste sind alle dazu da, um mehrere parallele Softwareprojekte mit mehreren beteiligten Programmierern verwalten zu können. Die Umstellung der Nutzer geschieht automatisch Entwicklerstudios, die bisher VSTS benutzen, sollen angeblich automatisch auf die neue Struktur von Azure Devops umgestellt werden. Achtung: Dabei ändert sich dann auch die Start-URL in dem Portal auf dev.azure.com/xyz. Azure Devops kann bei einer Teamgröße  von bis zu fünf Personen schon kostenlos ausprobiert werden.

2018-09-11T11:27:28+02:00September 11th, 2018|Allgemein, Coding, Webwerkzeuge|Kommentare deaktiviert für Microsoft gibt seine Marke Visual Studio auf
Weiterlesen

Angriff auf das CMS WordPress vorgeführt

Sam Thomas vom britischen Sicherheitsanbieter Secarma hat gerade auf der Cybersecurity-Konferenz BSides in Manchester einen Angriff auf das WordPress PHP Framework vorgeführt, der zu einer vollständigen Kompromittierung einer auf WordPress basierenden Internetseite führen kann. Der Bug ist schon seit über einem Jahr bekannt Das ist deshalb möglich, weil eine Sicherheitslücke, die schon seit einem Jahr besteht, bis heute ungepatcht ist. Für den Angriff muss das WordPress den Upload von Dateien erlauben. Ist das der Fall, kann ein Angreifer eine speziell gestaltete Thumbnail-Datei hochladen, die dann unter anderem einen Server Side Request Forgery-Bug ausnutzt. Die Sicherheitsforscher betonten, dass dadurch nicht nur vertrauliche Daten offen gelegt werden können, sondern unter Umständen sogar die Ausführung von Remotecode möglich ist. Die Sicherheitslücke steckt dem Forscher zufolge in der Funktion „wp_get_attachment_thumb_file“ in der Datei „/wpincludes/post.php“. Angreifer müssen nur die Kontrolle über einen der Parameter im Aufruf „file_exists“ gewinnen. Wenn zusätzlich auch das Autoloading aktiv ist, kann sogar Code der Angreifer geladen und ausgeführt werden, um damit letztlich das gesamte PHP-Framework zu kompromittieren.

2018-11-07T18:50:25+02:00August 19th, 2018|CMS|Kommentare deaktiviert für Angriff auf das CMS WordPress vorgeführt
Weiterlesen

Webseite erstellen lassen – Worauf Sie achten sollten

Wenn es eine Firmenwebseite ist, Existenz und Zukunft davon abhängt - dann lieber eine Webseite erstellen lassen, als mit einer schlechten Webseite Alles zu riskieren.Als erstes müssen Sie entscheiden und verstehen,  wie wichtig eine überzeugende Webseite für Sie ist. Wenn ihnen dann die Zeit fehlt, all das zu lernen, was sich andere in 3 Jahren Ausbildung + x Jahre Erfahrung erarbeiten: Bitte nicht einfach blind auf jedes ach so günstige Angebot eingehen und gut überlegen, wen Sie Ihre Webseite erstellen lassen.Doch woran erkennen Sie eine gute Webdesign Agentur?Jede Agentur wirbt damit besonders professionell zu sein, ein tolles Team zu haben. Seit 100 Jahren am Markt oder jung und Dynamisch...? Alles wird selbstverständlich zur vollen Zufriedenheit, ganz nach Ihren Wünschen (bla bla?).Ist doch ähnlich wie bei einer Versicherung. Auf den ersten Blick klingen die vollmundigen Worte eines Versicherungsvertreters auch immer super toll. Wie viel davon stimmt, zeigt sich im ersten Schadensfall. Wie wichtig sind Referenzen bevor ich den Auftrag gebe um meine Webseite zu erstellen zu lassen? Referenzen sind wichtig, dass ist unbestritten. Leider sind sehr viele Referenzseiten nicht nur gemogelt und geschummelt, sondern oft eher erstunken und erlogen. (Dies gilt im Internet für viele Branchen). Die Einen haben noch nichts nennenswerte vor zu weisen, die [...]

2018-01-28T02:31:43+02:00Januar 27th, 2018|Allgemein|Kommentare deaktiviert für Webseite erstellen lassen – Worauf Sie achten sollten
Weiterlesen

Coding: WordPress – Email bei Aktualisierung

Wer zusammen mit mehrere Ko-Autoren an einem Blog schreibt, möchte in der Regel gerne immer auf dem aktuellsten Stand der Beiträge sein. Ein in PHP geschriebener Code-Schnipsel mit der Funktion post_updated_email() aus dem Netz kann bei diesem Problem gut weiter helfen: function post_updated_email( $post_id ) { global $current_user; get_currentuserinfo(); // Ist es nur eine Revision, dann keine Email senden if ( wp_is_post_revision( $post_id ) ) return; $post_title = strip_tags(get_the_title( $post_id )); $post_url = get_permalink( $post_id ); $subject = '[UPDATE] ' . $post_title ; $message = __('Update by ', 'domain') . $current_user->display_name . ' ('.date('c', current_time( 'timestamp', 0 )).')' . "\n\n"; $message .= $post_title . ": " . $post_url; $message .= "\n\n" . __('Update in Post.', 'domain'); $headers = 'From: '.get_bloginfo('name').' <' . get_bloginfo('admin_email') . '>' . "\r\n"; // Email an den Admin wp_mail( get_bloginfo('admin_email'), $subject, $message, $headers ); } add_action( 'save_post', 'post_updated_email' ); Der Code-Schnipsel sendet dem Admin eine Email, wenn einer der Beiträge aktualisiert wurde. Den Code kann man natürlich auch durch Modifikation an die eigenen Bedürfnisse anpassen. Die kurze Funktion kann man am besten in der Funktionssammlung functions.php eines Themes von WordPress unterbringen. Man sollte dabei aber auch bedenken, dass die kleine Hilfsroutine bei zu vielen Änderungen in kurzer Zeit auch einen kleinen Stau [...]

2018-01-27T21:19:51+02:00Dezember 16th, 2017|Allgemein, CMS, Coding, PHP|Kommentare deaktiviert für Coding: WordPress – Email bei Aktualisierung
Weiterlesen
Nach oben