WordPress-sites doelwit van nieuwe aanvallen op plug-ins
Duizenden WordPress-sites lopen risico om te worden overgenomen nu aanvallers zich op meer kwetsbare plug-ins richten. De afgelopen maanden zijn er verschillende kwetsbaarheden in populaire WordPressplug-ins onthuld die aanvallers kwaadaardige code aan de website laten toevoegen.
Zo kunnen er backdoors worden toegevoegd en scripts die bezoekers bijvoorbeeld naar malafide websites doorsturen. Een bekend voorbeeld zijn websites die internetgebruikers via helpdeskfraude proberen op te lichten. Eén specifieke campagne die kwetsbaarheden in meerdere WordPressplug-ins gebruikt om websites over te nemen is al enige maanden gaande. De aanvallers achter deze campagne hebben nu exploits voor twee nieuwe plug-ins toegevoegd.
Het gaat om Woocommerce User Email Verification. Deze plug-in wordt door webwinkels gebruikt voor het valideren van het e-mailadres waarmee klanten zich registreren. Een kwetsbaarheid in de plug-in laat aanvallers allerlei kwaadaardige scripts injecteren. Een beveiligingsupdate om de kwetsbaarheid te verhelpen is nog niet beschikbaar. Meer dan 6.000 websites hebben Woocommerce User Email Verification geïnstalleerd.
WP Inventory Manager is de andere plug-in waar aanvallers het op hebben voorzien. Via deze plug-in kunnen webwinkels de voorraad van producten en materiaal bijhouden. Op 16 april werd een kwetsbaarheid in de plug-in verholpen, die inmiddels ook wordt aangevallen. In dit geval is er wel een beveiligingsupdate beschikbaar, maar de praktijk laat zien dat veel webmasters hun WordPressplug-ins niet updaten. Van WP Inventory Manager is een gratis en betaalde versie die identiek zijn. De gratis versie heeft meer dan duizend installaties. Het aantal installaties van de betaalde variant is onbekend.
Inmiddels komt WP zo vaak in het nieuws dat je je mag afvragen waarom men nog plugins gebruikt?
Bijna net zo lek als adobe flash.
https://www.security.nl/search?origin=frontpage&keywords=wordpress
https://www.security.nl/search?origin=frontpage&keywords=wordpress
de 423e
"ik liet m'n fiets 5 minuten (niet op slot) buiten staan en toen was ie weg."
Inmiddels komt WP zo vaak in het nieuws dat je je mag afvragen waarom men nog plugins gebruikt?
Bijna net zo lek als adobe flash.
Waarom nog plugins ? niet alle toepassingen hoeven standaard in het pakket aanwezig te zijn, ik hoef bv geen Woocomerce.
Ik zou willen dat Windwows 10 vrij kaal opgeleverd werd en dan via plugins verder uit kon bouwen naar wat ik nodig heb of wil.
eens een dorkje als
"websites/GET+%2Fwp-admin%2Fadmin-post.php%3Fswp_debug%3Dload_options%26swp_url%3D"
en je krijgt al een overzicht van heel wat kwetsbare websites onder ogen,
vooral die met niet geupdate softare en mixed content zijn daar veelbelovend voor aanvallers.
luntrus
Nog wat debug achtergrond informatie aangaande e.e.a. is hier te vinden (bron Johannes Pille e.a.):
https://wordpress.stackexchange.com/questions/69549/define-wp-debug-conditionally-for-admins-only-log-errors-append-query-arg-f/69552
luntrus
Nog wat debug achtergrond informatie aangaande e.e.a. is hier te vinden (bron Johannes Pille e.a.):
https://wordpress.stackexchange.com/questions/69549/define-wp-debug-conditionally-for-admins-only-log-errors-append-query-arg-f/69552
luntrus
luntrus
https://www.security.nl/search?origin=frontpage&keywords=wordpress
de 423e
Die van mij blijft geldig. Tijdloos.
Dank voor dit even als listing bijeen te mogen zien, dat treurige faal-overzicht.
Hoe zout wil je het eigenlijk gegeten hebben, mensen?
Als je het echt in zo'n schril perspectief bij elkaar ziet staan als via Kapitein Haddock's overzichtje,
dan is de onveiligheid van dit CMS en voornamelijk via de plug-ins veelal hemeltergend.
Daarnaast geef ik ook niet graag allen met Word Press CMS te eten,
die "user enumeration" en "directory listing" nog op "enabled" hebben staan.
Iedere gebruiker van dit CMS, zou tenminste eens even hier moeten scannen:
Word Press Security scan, voor a quick and dirty:
https://hackertarget.com/wordpress-security-scan/
Daarna vervolgens even nalopen met https://webhint.io/scanner/
om een flink aantal website verbetertips te zien verschijnen.
Ja ik kom wel eens tot over de 350 recommendaties per gescande website.
Net als met dat bekende dropmerk,
"Zo onveilig in dit geval, het zou verboden moeten worden".
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.