Populairste Wordpress-plug-ins vol lekken
Veel populaire plug-ins voor WordPress zijn kwetsbaar voor veelvoorkomende webaanvallen, en dat is een probleem, want een kwart van alle websites op internet maakt gebruik van WordPress. WordPress is gratis software waarmee internetgebruikers snel en eenvoudig een eigen website of blog kunnen starten. Het zou voor een kwart van alle websites op internet verantwoordelijk zijn.
Checkmarx, een bedrijf dat de broncode van open source software analyseert, maakte een analyse van de 50 populairste WordPress-plug-ins. 20% bleek kwetsbaar voor veel voorkomende aanvallen. Het gaat dan om zaken als SQL Injection (SQLi), Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) en Path Traversal (PT).
In totaal zijn de kwetsbare plug-ins 8 miljoen keer gedownload. Naast de 50 populairste plug-ins werden ook de 10 populairste populairste e-commerce plug-ins gecontroleerd. Hier bleek dat 7 van de 10 plug-ins met de eerder genoemde problemen te maken hadden. De kwetsbare e-commerce plug-ins zijn meer dan 1,7 miljoen keer gedownload.
Martplaats
Slechts zes van de onderzochte plug-ins wisten alle gevonden problemen in een periode van zes maanden op te lossen, hoewel alle plug-ins in deze periode met nieuwe versies kwamen. Volgens Checkmarx is het grote probleem dat veel marktplaatsen die de WordPress-plug-ins en apps aanbieden, geen securitystandaarden hanteren.
"Een ontwikkelaar met haast zal zich niet om de security druk maken als de release nadert", laat het bedrijf weten. Het ziet daarom in app-marktplaatsen de ideale partij om ervoor te zorgen dat alleen veilige apps en plug-ins worden aangeboden.
vb: de eerste e-commerce shopping cart plugin is hoogstwaarschijnlijk:
http://wordpress.org/plugins/eshop/ (eShop)
met beetje zoeken kun je de meeste andere ook wel achterhalen
Moet je zelf ea bij elkaar gaan schrapen, als er downloads bij komen zal het nummer niet meer overeen komen en weten mensen misschien niet dat hun plugin vol met SQLi zit..:(
Dan kun je tenminste zelf ook iets ondernemen voordat je de plugin gaat gebruiken.
Goed te weten dat er lui zijn die hier goed naar kijken en laten weten dat het niet helemaal 100% ok is. Wel jammer dat het niet volledig genoeg is (welke plugins? Wat moet/kan je doen om het zelf te detecteren?) en dus, wat mij betreft, een zinloos stuk is geworden. Als ex-programmeur en web-bouwer wil je gewoon meer weten :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.