Am 05.05.2023 wurde von einem IT-Forscher eine neue Sicherheitslücke im beliebten Plugin Advanced Custom Fields Pro (ACF Pro) gefunden. Betroffen ist die Version 6.1.5. Das Plugin zählt aktuell über 2 Millionen aktive Installationen. Die Sicherheitslücke ermöglicht Angreifern das Abfangen sensibler Daten von Nutzern mittels einer XSS-Attacke (Cross-Site-Scripting-Angriff).
In unserem Blogbeitrag lesen Sie, ob Sie betroffen sind, was genau passiert und wie Sie sich schnell absichern können. Die genaue Schritt-für-Schritt Anleitung geben wir Ihnen an die Hand.
Einen schnellen Überblick zum Thema Cross-Site-Scripting Angriffe verstehen und abwehren gibt es in unserem Cybersecurity-Glossar.
Die Sicherheitslücke im ACF Pro WordPress-Plugin
In der zuletzt ausgerollten Version 6.1.5 von Advanced Custom Fields im beliebtesten Content- Management-System der Welt WordPress ist eine kritische Sicherheitslücke entdeckt worden.
Technische Details dazu erfahren Sie als erfahrene(r) Leser(In) hier – wir wollen an dieser Stelle zuerst informieren und Ihnen die Absicherung erläutern.
Gefahr der Schwachstelle für Ihre WordPress-Website
Sollte Ihr Content Management System mit dem Plugin ACF Pro in der Version 6.1.5 oder darunter laufen, könnten Hacker diese Schwachstelle ausnutzen, um mit einer XSS-Attacke über Ihre Website wichtige und kritische Daten der Nutzer der Website abzufangen und dann für weitere Angriffe gegen die Nutzenden einzusetzen, aber auch Ihre Website noch tiefer zu infiltrieren.
P.S. Ob Sie das Plugin aktiv verwenden oder nur installiert haben, ist egal – Sie sind in beiden Varianten angreifbar.
Checklist zur sofortigen Absicherung
Sollten Sie sich nicht sicher sein, ob Ihre Website(s) anfällig sind, folgen Sie bitte den folgenden sehr einfachen Schritten. Sollten Sie wissen, dass Ihre Websites mit WordPress laufen oder gar das Advanced Custom Fields Pro Plugin nutzt, dann überspringen Sie die entsprechenden Punkte und starten Sie beim Punkt Update ACF.
Sollten Sie keinen Fachmann für Ihre Website im Haus haben, einen Dienstleister oder eigene Affinität haben, setzen Sie sich gerne mit uns in Verbindung, um das Thema Websecurity zu besprechen.
Nutze ich WordPress?
Klingt zu simpel für Techies, aber eine berechtigte Frage! Deshalb natürlich zuerst einen Fachmann fragen, sprich, ihren Webdesigner / ITler, ob WordPress bei Ihnen im Einsatz ist.
Falls nicht:
- Bitte besuchen Sie die folgende Website: https://whatcms.org/
- Dort geben Sie in die Suchzeile die URL Ihrer Website(s) ein und klicken auf „Detect CMS“. – Der Dienst ist kostenlos nutzbar.
- Nach erfolgreicher Suche erhalten Sie eine Tabelle. Schauen Sie dort nach der „Category“ Blog, CMS – sollte dort WordPress stehen, wissen wir nun mehr und Sie fahren bitte mit b) fort.
Falls nicht, sind Sie vermutlich nicht betroffen.
Verwende ich die Erweiterung ACF Pro und wenn ja, in welcher Version?
Sollten Sie keinen Fachmann für Ihre Website haben, dann versuchen Sie sich in Ihr CMS einzuloggen:
zumeist unter https://ihre-domain.de/login oder https://ihre-domain.de/wp-admin.php
Loggen Sie sich dann mit Ihrem Login und dem Passwort ein.
Sind Sie erfolgreich im Administrationsbereich Ihres WordPress-Systems eingewählt, klicken Sie bitte auf den Reiter „Plugins“ im linken, vertikalen Menü.
Dort finden Sie eine Liste aller Plugins. – Suchen Sie nach dem Namen „Advanced Custom Fields“
Sollten Sie fündig werden, schauen Sie bitte in der Tabelle unter der Spalte „Beschreibung“ – dort finden Sie die aktuell genutzte Versionsnummer in der Codierung: 6.1.X – sollten Sie eine Version unter 6.1.6 haben, sollten Sie handeln!
Update des Plugins ACF Pro
Haben Sie einen Dienstleister oder einen internen Spezialisten für das Thema? Dann bitten Sie diesen, das Plugins kurzfristig zu updaten.
Sollte dies nicht der Fall sein, achten Sie bitte darauf, dass Sie ein aktuelles Backup Ihrer Website haben.
Danach klicken Sie ganz einfach auf den Link: „Jetzt aktualisieren“ in der Tabellenzeile Advanced Custom Fields, die sie eben im Reiter „Plugins“ geöffnet haben.
Im Anschluss sollte sich in der Beschreibung die Versionierung auf 6.1.6 geändert haben – Die Sicherheitslücke ist laut dem Anbieter von ACF Pro nun geschlossen.
Bitte prüfen Sie gegebenenfalls nochmal mit ein paar Klicks Ihre Website. Die aktuelle Schwachstelle ist nun behoben – ein Problem weniger.
Weiteres Vorgehen zur generellen Absicherung
Die Sicherheitslücke im ACF Pro WordPress Plugin zeigt, wie wichtig es ist, stets wachsam zu sein und die Sicherheit Ihrer Website ernst zu nehmen. Durch das Befolgen der Checkliste und das Implementieren von Sicherheitsmaßnahmen können Sie Ihre Daten vor Diebstahl schützen und mögliche negative Auswirkungen auf Ihr Unternehmen vermeiden. Bleiben Sie auf dem Laufenden über die neuesten Sicherheitsupdates und stellen Sie sicher, dass Ihre Website und Ihre Daten so sicher wie möglich sind.
Um permanent über Sicherheitslücken, Schwachstellen (CVEs), aber auch Verfügbarkeiten und Performancefragen Ihrer WordPress-Seite- ohne aktives Überwachen Ihrerseits- im Bilde zu sein und bei Bedarf schnell und einfach Sicherheitsrisiken zu beheben, sprechen Sie mit uns.
Sie erfahren, wie unsere Cybersecurity-Plattform (100% Made in Germany) diese Arbeit für Sie übernimmt und Sie sich beruhigt Ihrem Tagesgeschäft widmen können.
