Das Ausnutzen von Schwachstellen gehört zu den drei größten Gefahren für die Sicherheit von WordPress-Seiten. Einem entsprechenden Bericht der Sicherheitsforscher von Wordfence sollen Cyberkriminelle allein im vergangenen Jahr 4,3 Milliarden Versuche unternommen haben, um Sicherheitslücken auszunutzen. Jetzt haben die Wordfence-Experten mehrere Schwachstellen in dem beliebten WordPress-Plugin Ninja-Forms öffentlich gemacht.

Demnach wurden die Sicherheitslücken schon im Januar entdeckt und vom Hersteller bereits gefixt. Ein Patch wurde am 8. Februar veröffentlicht. Allerdings müssen Nutzer des Ninja-Forms-Plugins – WordPress gibt hier über eine Million aktive Nutzer an – dazu so schnell wie möglich auf die aktuelle und gepatchte Version 3.5.0 updaten. Ansonsten, so warnt Wordfence, sei eine Übernahme der Kontrolle über die betroffene Seite durch Cyberkriminelle möglich.

Insgesamt hat Wordfence vier Schwachstellen ausgemacht, wie auch Searchenginejournal berichtet. Die ermöglichen unter anderem, dass Angreifer den E-Mail-Verkehr über ein eigens installiertes Plugin abgefangen könnten. Das macht es etwa möglich, ein Passwort-Reset für einen Admin-Account auszulösen und die entsprechenden Daten abzufangen, wenn der Admin-Nutzername bekannt ist. Zudem könnten durch Manipulation der OAuth-Verbindung der betroffenen Website Nutzer auf bösartige Seiten umgeleitet werden.

Ninja-Forms ist eines der populärsten Plugins, die das Einbinden von Kontakt- oder Buchungsformularen auf WordPress-Websites ermöglichen. Das Plugin erleichtert Nutzern die Erstellung von Formularen durch die Bedienung per Drag & Drop sowie vorgefertigten Layouts und Styles.