Es kommt immer wieder vor, dass Security Spezialisten Sicherheitslücken in WordPress Plugins entdecken und veröffentlichen, aber niemand diese Schwachstellen beseitigt. Die Ursache das diese Vulnerabilities nicht geschlossen werden liegt oft daran, dass die Entwicklung und der Support des Plugins eingestellt wurde.
Besonders problematisch werden diese Sicherheitslücken dadurch, dass sie nicht offensichtlich sind. Es gibt weder einen Hinweis das eine Schwachstelle besteht, noch das ein Update verfügbar ist. Selbst wenn das vulnerable Plugin aus dem WordPress Pluginverzeichnis gelöscht wird bekommst du keinerlei Information in deinem WordPress BackOffice.
Du bist somit gezwungen dich regelmäßig selbst zu informieren welche Plugin davon betroffen sind. Um es dir etwas einfacher zu machen findest du nachstehend eine aktuelle Liste der uns bekannten WordPress Plugins die Sicherheitslücken aufweisen welche noch nicht geschlossen wurden.
Liste der WordPress Plugins mit Sicherheitslücken die nicht geschlossen wurden
Stand: 12.01.2023
HINWEIS! Die Umstellung auf den Block Editor sowie die damit verbundenen Veränderungen im WordPresse Core führen dazu, dass immer mehr Plugin Entwickler auf Grund des hohen Anpassungsaufwandes die Entwicklung ihrer Plugins einstellen. Die Anzahl der Plugins mit nicht geschlossenen Sicherheitslücken ist so umfangreich geworden, dass es uns nicht möglich ist dies weiterhin hier abzubilden. Wir empfehlen dir regelmäßig alle verwendeten Plugins zu überprüfen und falls sie nicht mehr weiterentwickelt werden diese auszutauschen.
Es kann durchaus sein, dass Plugins die hier auf der Liste stehen, zwischenzeitlich gefixt wurden. Bevor du aktiv wirst ist es deshalb ratsam nochmal zu kontrollieren, ob es eventuell ein Update gibt. Im Zweifelsfall kannst du auch den Plugin Autor kontaktieren.
Bitte beachte: Bei der Vielzahl von existierenden Plugins (über 60.000) ist es uns leider nicht möglich diese Liste vollständig zu halten.
Was musst du beachten, wenn eines der von dir verwendeten Plugins betroffen ist?
Falls du eines der auf der Liste befindlichen Plugins im Einsatz hast, besteht ein ernsthaftes Sicherheitsproblem. Du läufst somit Gefahr, dass Hacker die bekannte Sicherheitslücke ausgenutzen und deine Webseite mit Schadcode infizieren. Aus diesem Grund empfehlen wir dringend das Plugin unverzüglich zu deinstallieren und zu löschen.
Anschließend kannst du beim Autor des Plugins nachfragen, ob in naher Zukunft mit einem Patch (Update) zu rechnen ist. Ist dies nicht der Fall, musst du entweder auf die Funktionalität des Plugins verzichten, oder du suchst im WordPress Pluginverzeichnis ein Plugin das ähnliche Funktionen bereit stellt.
Verwaiste und veraltete WordPress Plugins
Neben den Plugins die nicht geschlossene Vulnerabilities aufweisen, gibt es aber auch Plugins bei denen zwar noch keine Schwachstelle entdeckt wurde, sie dennoch nicht mehr weiterentwickelt werden. Auch diese Plugins solltest du im Auge behalten, denn auch sie stellen ein potentielles Sicherheitsrisiko dar. Ein Plugin das dir hilft diese ausfindig zu machen, haben wir in unserem Artikel zum WordPress Frühjahrsputz vorgestellt.