WordPress-sites aangevallen via vijf kwetsbare extensies
WordPress-sites waren afgelopen maand het doelwit van een aanval waarbij werd geprobeerd om via oude kwetsbaarheden in verschillende extensies de websites over te nemen. Zo'n 10.000 websites liepen risico. Dat laat securitybedrijf Wordfence in een analyse weten. Het gaat om de extensies: Easy2Map, Blog Designer, WP GDPR Compliance, Total Donations en het Newspaper-theme.
Via de kwetsbaarheden kunnen aanvallers kwaadaardige JavaScript-code op de website plaatsen. Deze code probeert de cookies van de ingelogde WordPress-beheerder te stelen. Wanneer het slachtoffer niet is ingelogd wordt die naar een malafide website doorgestuurd. Is de beheerder wel ingelogd, dan worden zijn inlogcookies gestolen en voegen de aanvallers een backdoor aan de website toe.
Wordfence meldt dat 900.000 WordPress-sites doelwit van de aanval waren. Van de aangevallen websites draaiden er naar schatting maximaal 10.000 een kwetsbare extensie. De kwetsbaarheden in het Newspaper-theme, WP GDPR Compliance en Blog Designer werden in respectievelijk 2016, 2018 en 2019 al gepatcht. De extensies Total Donations en Easy2Map werden vorig jaar door WordPress vanwege de kwetsbaarheden uit de officiële repository verwijderd. Beheerders van WordPress-sites met een kwetsbare extensie krijgen het advies die te updaten of verwijderen.
Gaat het niet fout bij de settings,zoals user enumeration en directory listing,
dan wel bij verouderde of niet langer meer onderhouden code bij kernel, extensies en plug-ins.
jQuery library zwakheden en onveiligheid en kwetsbaarheden op de achterliggende webservers.
Gaat ook vaak fout bij amateurs, maar ook bij ontwerpers van gelikte websites met slecht onderhoud.
(het zogenaamde engelse drop code effect (iron.)).
Doe maar eens een scannetje hier: https://sitecheck.sucuri.net (gelimiteerde toegang!)
voor een "quick and dirty" overzicht van eventuele problemen.
luntrus
Probleem bij WordPress is dat een update er meestal voor zorgt dat je hele site niet meer werkt. Komt door al die verschillende plug-ins en thema's. Automatische updates is in de praktijk (90% van de WP websites) vaak geen optie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.