Eine Auflistung von Wörtern zum Thema Sicherheitslücken bei Websites. Hier Speziell für die WordPress-Erweiterung OneTone.

OneTone – WordPress-Theme mit XSS-Schwachstelle gefährdet die Sicherheit

30. April 2020 | Sicherheit, Web

Immer wieder werden Sicherheitslücken bei WordPress-Themes entdeckt. Dieses Mal betrifft es das veraltete WordPress-Theme OneTone, bei dem die Schwachstellen seit Tagen verstärkt ausgenutzt werden, obwohl die Sicherheitslücke bereits seit einigen Monaten bekannt ist.

 

Der Angriff auf OneTone

OneTone ist ein recht beliebtes und freies Onepage-Theme mit etwa 20.000 aktiven Installationen.  Es enthält eine Cross-Site-Scripting-Lücke, über den ein Angreifer einen Schadcode in die Einstellungen des Themes einschleusen kann. Ein typisches Beispiel, beim Aufruf der Website startet der Schadcode zur Entfaltung der schädlichen Wirkung den XSS-Angriff auf dem Rechner des Opfers. Weiterführende Informationen zur XSS-OneTone-Schwachstelle finden Sie hier (externer Link).

Da OneTone seit einigen Jahren nicht mehr gewartet wird, empfiehlt sich die sofortige Umstellung auf ein Alternativ-Theme.

 

Tipps um die eigene Sicherheit erhöhen

Vorgefertigte Themes, vor allem kostenfreie Varianten, sind weit verbreitet und reduzieren den Entwicklungsaufwand eigener Designs etc. deutlich.

Dennoch sollten Sie vor der Auswahl grundsätzlich darauf achten, wie alt ein Theme ist und ob zumindest Sicherheitspatches bereitgestellt werden. Auch ein Blick in die Dokumentation oder dem Versionsverlauf sind hilfreich.

Nach der Implementierung des Themes sollten regelmäßige Updates selbstverständlich sein und auch Plugins kontinuierlich auf Notwendigkeit geprüft werden. Je umfangreicher WordPress sich mit einem Meer an Plugins gestaltet, desto größer ist die Gefahr, durch eine oder mehrere Schwachstellen angegriffen zu werden. Zwar kann  man durch bestimmte Plugins und / oder Coding die Sicherheit erhöhen, ist aber meist nur durch Site-Admins mit entsprechenden Kenntnissen realisierbar. 

Wir empfehlen zudem, sofern dies seitens der Anbieter bereitgestellt wird, sich stets die aktuellen News zu verwendeten Themes und Plugins zu abonnieren, um Updates oder andere wichtige Meldungen nicht zu verpassen. Spezielle Sicherheits-Newsletter eignen sich hierfür ebenfalls.

 

Maßnahmen vergessen ist nicht möglich

Diese erwähnten Maßnahmen sind durch Tools wie Kalender, ToDo-Listen, Notiz-Apps, Feedreader, Reminder in Software-Produkten etc schnell abrufbar und können nicht vergessen werden. Bevor Sie jetzt voller Euphorie Software und Apps suchen, denken Sie bitte an die Datenschutzbestimmungen im geschäftlichen Bereich.

Sie haben noch Fragen oder sind sich unsicher?

Sollten Sie sich unsicher sein wie der aktuelle Schutz Ihrer Systeme ist oder wollen einfach nur eine unabhängige Prüfung, dann melden Sie einfach per Email oder Telefon. In einem ersten Gespräch wird sich schnell klären lassen, inwieweit gehandelt werden muss.

Hierzu gehen wir gemeinsam die eingesetzten Software-Produkte, die Hardware und die Historie der Anschaffungen durch. Denn oft wurden vor längerer Zeit Überlegungen getroffen, die einfach nicht mehr zeitgemäß sind. Bei größeren Prüfungen führen wir übrigens auch Insight days durch.

Einen groben Überblick der Leistungen finden Sie hier.

Titelbild: © André Sandner – andre-sandner.com & stock.adobe.com

  1. Start
  2. /
  3. Web
  4. /
  5. OneTone - Wordpress-Theme mit XSS-Schwachstelle gefährdet die Sicherheit