WordPress-Seiten via Woo-Commerce Plug-In attackiert

Die gute Nachricht: Ein Sicherheitsupdate ist verfügbar.

Die Woo-Commerce Version 3.4.6 schützt die WordPress-Seiten vor einer tückischen Attacke. Was war passiert? Angreifer haben Admin-Accounts des Online Shop-Plug-Ins übernommen und via File-Deletion-Attacke zu deaktivieren. Dies öffnete den Hackern Tür und Tor zum Admin-Account der gesamten WordPress-Seite.

Wie war die Attacke überhaupt möglich?
Woo-Commerce kümmert sich nicht um die Rechteverwaltung: Das Shop-Manager Konto hat von WordPress aus die Rechte, bestehende Accounts inkl. der Admins zu bearbeiten. Durch die File-Deletion-Attacke hat der Shop-Manager die Rechte erhalten, ein Admin-Passwort zu ändern.

Jegliche Woo-Commerce-Nutzer sollten unbedingt prüfen, ob die Version 3.4.6 installiert ist.

Fanden Sie den Artikel interessant? Dann teilen Sie ihn doch mit Ihren Freunden:

Quelle: heise.de

Ihre Sicherheit ist uns wichtig!
Sollten Sie Beratung von Ihrem Kaspersky Gold Partner wünschen, oder Sie sind sich bei Ihren Erweiterungen unsicher? Wir helfen Ihnen gerne!