Letzte Woche haben wir WPML 4.6.13 und WooCommerce Multilingual 5.3.7 veröffentlicht, um ein von Wordfence gemeldetes Sicherheitsproblem zu beheben. Wir möchten weitere Details zu diesem Fix und dessen Bedeutung für die Sicherheit Ihrer Websites mitteilen.
Zeitlicher Ablauf der Ereignisse
Bei WPML hat Sicherheit oberste Priorität, und wir setzen uns dafür ein, dass Ihre Websites sicher bleiben. Für diesen Fix haben wir eng mit Wordfence zusammengearbeitet, einem der angesehensten Namen in der WordPress-Sicherheitsgemeinschaft.
Wordfence kontaktierte uns im Juli bezüglich des WPML-Problems, aber leider landete die Nachricht im Spam-Ordner und blieb eine Weile unbemerkt. Glücklicherweise schickten sie uns im August eine Folgemail, und wir haben die Sache von dort aus in die Hand genommen, die Schwachstelle sofort behoben und Wordfence eine gepatchte Version zur Validierung zur Verfügung gestellt.
Als die großartigen Partner und Experten, die sie sind, meldete Wordfence dabei eine weitere kleinere XSS-Schwachstelle, die wir ebenfalls sofort behoben haben.
In der Zwischenzeit erhielten wir auch einen Bericht von Patchstack über eine ähnliche Schwachstelle in WooCommerce Multilingual.
Nachdem wir von ihnen die Bestätigung erhalten hatten, dass der Fix alle Validierungen bestanden hat, haben wir WPML 4.6.13 und WooCommerce 5.3.7 am 20. August veröffentlicht.
Die Schlüsselrolle von Wordfence
Wir möchten diese Gelegenheit nutzen, um Wordfence für ihre großartige Hilfe bei der Identifizierung und Behebung dieser Schwachstellen zu danken. Die Bedeutung ihrer Arbeit für uns und das gesamte WordPress-Ökosystem kann nicht hoch genug eingeschätzt werden.
Ihre Sorgfalt bei der Nachverfolgung des ursprünglichen Berichts und ihre Zusammenarbeit während des gesamten Patching-Prozesses sind ein Beweis für ihr Engagement für die WordPress-Gemeinschaft.
Wie dieser Exploit funktioniert und was er für Sie bedeutet
Einige Online-Artikel haben dieses Problem als „kritischen Exploit“ beschrieben, der über eine Million Websites betrifft. Obwohl wir vollkommen zustimmen, dass Sicherheit eine ernste Angelegenheit ist, ist es wichtig, genau zu klären, wie dieser Exploit in realen Situationen funktioniert.
Diese Schwachstelle erfordert, dass ein böswilliger Akteur Bearbeitungsrechte auf einer WordPress-Website hat. Das bedeutet, dass er auf der Zielseite eine Benutzerrolle als Autor oder höher haben muss.
Die Schwere hängt davon ab, welche Arten von Benutzern Sie auf Ihrer Website haben. Wenn Sie und Ihr Team die einzigen Administratoren/Autoren/Redakteure auf der Website sind, gibt es niemanden außerhalb von Ihnen oder Ihrem Team, der diese Schwachstelle ausnutzen könnte.
Wenn Sie hingegen eine Website mit Benutzern betreiben, die über Autorenrechte verfügen und Sie diese Personen nicht persönlich kennen, könnten Sie einem höheren Risiko ausgesetzt sein.
Schließlich möchten wir betonen, dass zu keinem Zeitpunkt die Mehrheit der WPML-Benutzer gefährdet war. Der Patch wurde in enger Zusammenarbeit mit Wordfence entwickelt, getestet und veröffentlicht, und das Problem wurde vollständig behoben.
Wie immer empfehlen wir dringend, WPML und WooCommerce Multilingual auf Ihren Websites auf dem neuesten Stand zu halten.
Bei Bedenken
Für unsere Benutzer und Partner, die möglicherweise durch die jüngsten Berichte beunruhigt waren, möchten wir versichern, dass kein Grund zur Besorgnis besteht. Das Problem wurde schnell und effektiv gelöst, und es gibt keine Anzeichen dafür, dass es in der Praxis ausgenutzt wurde.
Wenn Sie Fragen oder Bedenken haben, können Sie uns gerne kontaktieren.
Wir setzen uns weiterhin für die Sicherheit Ihrer Websites und für unsere fortgesetzte Zusammenarbeit mit Wordfence und anderen Sicherheitsexperten ein.
Vielen Dank für Ihr anhaltendes Vertrauen in WPML,
Ihr WPML Team