Nieuws
image

Backdoor in WordPress-plug-in met 200.000 installaties

woensdag 13 september 2017, 17:28 door Redactie, 4 reacties

Onderzoekers hebben in een WordPress-plug-in met meer dan 200.000 installaties een backdoor ontdekt. Het gaat om de plug-in Display Widgets, waarmee content in de zijbalk van websites per pagina kan worden ingesteld. De plug-in werd in juni van dit jaar door de originele ontwikkelaar verkocht.

De laatste drie versies van de plug-in bevatten kwaadaardige code die de nieuwe ontwikkelaars de mogelijkheid geeft om willekeurige content te plaatsen op WordPress-websites waar de plug-in is geïnstalleerd, zo waarschuwen securitybedrijven Wordfence en Plugin Vulnerabilities. Onlangs klaagden gebruikers dat de plug-in was gebruikt om spam op hun WordPress-sites te plaatsen. Sinds Display Widgets door de oorspronkelijke ontwikkelaar werd verkocht heeft WordPress de plug-in drie keer uit de database met aangeboden plug-ins verwijderd, om de uitbreiding vervolgens ook drie keer weer toe te staan.

Een aantal dagen geleden werd de plug-in voor de vierde keer verwijderd. WordPress-gebruikers die Display Widgets hebben geïnstalleerd krijgen het advies die te verwijderen. WordPress heeft inmiddels excuses gemaakt dat de ontwikkelaars met de gebackdoorde plug-in zolang hun gang konden gaan. Daarnaast heeft het plug-inteam van WordPress een schone versie van Display Widgets ontwikkeld.

Reacties (4)
13-09-2017, 22:06 door Anoniem
Om te zien of er wat mis is met een Word Press CMS installatie, moet u hier eens scannen:
https://hackertarget.com/wordpress-security-scan/

en dan deze scan opvolgen met een retirable jQuery library scan om kwetsbare bibliotheken te kunnen afserveren:
http://retire.insecurity.today/

Veel hebben "user enumeration" aanstaan en "directory listing", hebben gedateerde plug-ins of kwetsbare jQuery code enz.

Ik probeer hier al jaren op te wijzen, het schijnt echter vaak op water naar de zee dragen,

Een scan hier: http://www.domxssscanner.com/ en met een javascript unpacker op errors en wat nalezen op StackOverflow zorgt voor wat meer inzicht over eventuele kwetsbaarheden.

Scan ook eens hier: https://observatory.mozilla.org/? en op deze test site naar het gebruik van moderne(re) beveiligingsmethodiek: https://en.internet.nl/domain/ en hier: https://threatintelligenceplatform.com/

Alles hierboven geeft een indicatie van de website status via een zogeheten "Quick & Dirty"
3rd party cold reconnaissance scan.

Ieder hier veel website veiligheid toegewenst. Hou het niveau van deze site hoog, vrienden,
we varen er allemaal wel bij...

luntrus
14-09-2017, 09:11 door Anoniem
Lijkt me toch dat de nieuwe eigenaars hoofdelijk aansprakelijk zijn voor diverse wetsovertredingen? Gewoon achter de tralies zetten voor een lange tijd.
16-09-2017, 09:11 door [Account Verwijderd] - Bijgewerkt: 16-09-2017, 09:15
[Verwijderd]
16-09-2017, 22:11 door Anoniem
Beste Neb Poorten,

Sorry, hoor.

Zo gewend om elders niet doorklikbare url/uri links te produceren, dat ik even vergeten was dat hier geen n00bs/ unsavvy gebruikers langskomen en knippen plakken is niet 'des androids'.

Waar ik normaliter post moeten alle links als -http(s) of hxtp of hxtps gegeven worden, anders wordt mijn bericht gelijk aangemeld bij de moderatie, want iemand kan wellicht misschien wel eens een alert te zien krijgen.

Ook destijds bij Web of Trust (WOT) op mijn huid gehad vanwege het gebruik van ongebroken links.

Een dazzlepod IP scan linkje mag je ook niet live geven, zie hun online voorwaarden.

Deze scanner was eens vrij {url} https://threatintelligenceplatform.com/ {/url} , nu moest ik een account aanmaken en heb ik slechts recht op 10 gratis scans per maand. Soms is het niet leuk meer.

vriendelijke groetjes van,

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search