Iplagi ye-WordPress eyaziwayo ebizwa ngokuba yi "Easy WP SMTP Plugin" engaphezulu kwekhulu lamawaka ofakelo olusebenzayo lusandula ukufumanisa umngcipheko., evumela umhlaseli ukuba athathe ulawulo lwesiza. I-bug kule WordPress plugin ivumela i-cyberpunks, phinda udibanise igama eligqithisiweyo lomlawuli kwaye ufumane ugunyaziso olupheleleyo lwewebhusayithi.
Die festgestellte Sicherheitsanfälligkeit befindet sich in der Debug-Protokolldatei, esemngciphekweni ngenxa yesiphene esisisiseko kwindlela iplagi elawula ngayo incwadi eneenkcukacha. Iiplagi zefolda kumncedisi ngeefayile, iya kugcinwa ngabasebenzisi, edla ngokuqulatha ifayile ye index.html engenanto. Der Zweck dieser Datei besteht darin, jemanden daran zu hindern, zu diesem Ordner zu navigieren und die Liste der Dateien in diesem Verzeichnis zu erkennen.
Wenn jemand diese Liste von Dateien beobachtet, greift er möglicherweise auf diese Dateien zu, was das Problem ist.
Der Ordner, in dem diese Debug-Protokolldatei vorhanden ist, enthält keine index.html-Datei. Auf Servern, auf denen die Verzeichnisindexlisten nicht deaktiviert sind, kann ein böser Placker standardmäßig Zugriff auf diese Datei erhalten.
In erster Linie erhalten sie den Benutzernamen auf Administratorebene von der WordPress-Site. Sie versuchen, mit bekannten Methoden zu hacken.
Dann rufen sie die WordPress-Anmeldeseite auf und senden eine Anfrage zum Zurücksetzen des Passworts für das Administratorkonto.
Außerdem erhalten sie Zugriff auf die Debug-Protokolldateien und stellen den Link zum Zurücksetzen des Kennworts wieder her, den die WordPress-Site gesendet hat. Wenn sie diesen Link abrufen, geben sie ihn ein, setzen das Passwort zurück und genießen dann vollen Zugriff auf die Site.
Dieses Schwachstellen-Plug-In verwaltet ein Änderungsprotokoll, das alle Änderungen in jedem Update aufzeichnet. Das Änderungsprotokoll muss gelesen werden, damit ein Benutzer erkennen kann, welche Aktualisierung vorgenommen wird.
Wenn eine Sicherheitsanfälligkeit entdeckt wird, stellen die Plug-In-Entwickler normalerweise fest, dass die Sicherheitsanfälligkeit gepatcht wird. Dies gibt dem WordPress-Entwickler die Informationen, die er benötigt, um eine fundierte Entscheidung zu treffen. Ein Änderungsprotokoll, das einen Publisher darüber informiert, dass ein Update eine Sicherheitsanfälligkeit verursacht, ermöglicht es dem Publisher, eine fundierte Entscheidung zum Aktualisieren des Plug-Ins zu treffen, um Hackerangriffe zu vermeiden.
Es wird dringend empfohlen, dass alle Benutzer des Easy WP SMTP-Plug-Ins auf eine höhere Version als Version 1.4.2 aktualisieren.