WordPress sluit tien onveilige plug-ins voor webwinkels
WordPress heeft besloten om tien plug-ins voor webwinkels die via WordPress.org werden aangeboden te sluiten, aangezien ze beveiligingslekken bevatten en er geen updates van de ontwikkelaar beschikbaar zijn. Het gaat om plug-ins van ontwikkelaar Multidots voor op WooCommerce-gebaseerde webwinkels.
WooCommerce is een zeer populair webwinkelplatform voor WordPress. Via het systeem is het mogelijk om WordPress-sites in een webshop te veranderen. Multidots ontwikkelt weer plug-ins voor WooCommerce. Het gaat onder andere om plug-ins voor het delen van content via WhatsApp en Viber, het tonen van cookiemeldingen en een teller van het aantal bezoeken. De tien onveilige plug-ins van Multidots hebben bij elkaar een kleine 20.000 installaties.
De kwetsbaarheden in de plug-ins variëren van SQL Injection tot cross-site request forgery en cross-site scripting. In het ergste geval kunnen aanvallers zo toegang tot de database van de website krijgen en die bijvoorbeeld overnemen. Securitybedrijf Threatpress ontdekte de problemen en waarschuwde Multidots op 8 mei. Aangezien de softwareontwikkelaar geen datum voor de updates noemde besloot Threatpress om WordPress te informeren, dat de tien plug-ins vorige week sloot. Webwinkels die de plug-ins hebben geïnstalleerd zijn echter nog steeds kwetsbaar, aangezien het aan beheerders van de webshops is om ze uit te schakelen.
Update
Multidots heeft de problemen verholpen en de plug-ins zijn weer op WordPress.org te downloaden.
Mooi hoor. Google bestelt vandaag 62.000 taxichauffeurs werkeloos en Trump begint een staal en aluminium oorlog wegens te veel werkelozen in zijn binnenland.
Volkomen logisch.
Vroeger maakten ze wel mooie speelfilms. Dat moet ik toegeven.
Die bedrijven hebben geconcludeerd dat ze zich met een aantal zaken, zoals (de bulk van) het OS waarop ze hun software laten draaien, niet meer kunnen onderscheiden. Dat is de inspanning niet meer waard. Dan wordt het aantrekkelijk om die inspanning gezamenlijk te doen. Aardig genoeg blijkt juist die "virale" GPL heel geschikt daarvoor te zijn. De verplichting om de broncode van de verbeteringen die je aanbrengt ook aan je gebruikers beschikbaar te stellen is namelijk een juridische belemmering voor die bedrijven om wel mee te genieten van de verbeteringen die hun concurrenten beschikbaar maken maar de eigen verbeteringen voor die concurrenten verborgen te houden. Het heeft zich ontpopt als een uitstekend middel om de competitieve neigingen van die bedrijven in het gareel te houden en de samenwerking te laten werken. Om dit te laten werken is het ook heel belangrijk dat de samenwerkingen via nonprofitorganisaties lopen, zoals de Linux Foundation.
En dat gaat prima blijkbaar. Je hoort er hier weinig slechts over. Dat in tegenstelling tot Microsoft, over wiens software zoveel problemen met beveiliging, etc. worden gerapporteerd, dat je door de bomen bijna het bos niet meer ziet. Slecht, heel slecht van Microsoft.
Help me even herinneren, wie waren die beroemdheden die het zwarte garen en warm water hebben uitgevonden?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.