WordPress dicht lekken die toegang tot websites kunnen geven
Er is een nieuwe versie van WordPress verschenen die meerdere kwetsbaarheden verhelpt waardoor een aanvaller toegang tot websites had kunnen krijgen. WordPress 5.2.3 verhelpt in totaal acht beveiligingslekken, waarvan zeven keer cross-site scripting (XSS).
Bij XSS plaatst een aanvaller code op een website die vervolgens in de browser van bezoekers wordt uitgevoerd. De nu verholpen XSS-lekken zijn dan ook voornamelijk een probleem voor websites die bezoekers en gebruikers toestaan om reacties te plaatsen. Een aanvaller zou een reactie met XSS-code kunnen achterlaten. Zodra de beheerder dit bericht bekijkt wordt de XSS-code in zijn browser uitgevoerd en kan de aanvaller een nieuwe beheerder aanmaken. Een andere aanvalsvector voor de XSS-lekken is het sturen van een kwaadaardige link naar een ingelogde beheerder.
De achtste kwetsbaarheid betrof een open redirect waardoor gebruikers naar andere url's konden worden doorgestuurd. WordPress ging niet goed om met het valideren en sanitizen van een url, waardoor een open redirect mogelikj was. Zodoende had een aanvaller een link kunnen maken die begon met de vertrouwde kwetsbare website, maar vervolgens zou uitkomen op een malafide site. Dergelijke kwetsbaarheden worden vaak bij phishingaanvallen gebruikt, stelt securitybedrijf Wordfence. Updaten naar WordPress 5.2.3 kan via de automatische updatefunctie of het WordPress-dashboard.
Echt een top plugin! Aanrader! https://nl.wordpress.org/plugins/companion-auto-update/
Echt een top plugin! Aanrader! https://nl.wordpress.org/plugins/companion-auto-update/
Geen plugin voor nodig, Wordpress doet de update zelf....
Echt een top plugin! Aanrader! https://nl.wordpress.org/plugins/companion-auto-update/
Want anders ga je op je snuitje. Of je verzuipt bijna.
Het is oppassen voor de jonge garde vooral. Die denken dat als ze tijdlijnen kunnen lezen, likes kunnen klikken en weten hoe je iemand ontvriend, dat dat het hele internet is. En dat ze niks meer te leren hebben.
Ze zouden kunnen beginnen met dagelijks bijvoorbeeld eens op security.nl te kijken. Want ook fietsers in de tour de france gaan wel eens op hun plaat en ook geoefende zwemmers halen soms het randje maar net. Maar dat is dan toch een ander verhaal.
Het begint met willen leren fietsen. En willen leren zwemmen. Dan kun je met wordpress prima uit de voeten.
Mits je je literatuur bijhoudt.
het onderliggende PHP. Laat alles niet te luid schreeuwen via excessieve info proliferacj?, user enumerstion enabled, directory listing enabled, af te voeren code in kernel, thema's en plugins, JavaScript errors, sinks &sources, best header en andere best policies. Listen, fuzzen etc.
luntrus
En natuurlijk al die snelle bouwers met PHP gebaseerd CMS,
waarna degelijk onderhoud meestal uitblijft.
Tel uit je winst, gelikte sites
maar rammelend qua security.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.