WordPress updatet populaire plug-in op 1 miljoen websites wegens kritiek lek
WordPress heeft een populaire plug-in wegens een kritieke kwetsbaarheid bij zo'n 1 miljoen websites geüpdatet. Sommige gebruikers waren echter niet blij met de automatische update, aangezien ze deze optie niet hadden ingeschakeld. De kwetsbaarheid bevond zich in Loginizer. Via deze plug-in kunnen WordPress-sites bruteforce-aanvallen blokkeren.
Na een aantal mislukte inlogpogingen wordt het ip-adres van de gebruiker op een blacklist geplaatst. Verder biedt de plug-in de mogelijkheid om andere beveiligingsopties voor de website in te stellen, zoals tweefactorauthenticatie, captcha's of een "wachtwoordloze login". Loginizer is op meer dan 1 miljoen WordPress-websites geïnstalleerd.
De bescherming tegen bruteforce-aanvallen was ook het onderdeel dat de kwetsbaarheid veroorzaakte. Wanneer een gebruiker met een onbekende gebruikersnaam inlogt wordt de poging in de back-enddatabase opgeslagen. De gebruikersnaam alsmede andere parameters werden echter niet goed gecontroleerd voordat die via een SQL-query aan de database werden toegevoegd. Zo was SQL-injection mogelijk waardoor een aanvaller de website had kunnen overnemen.
Op 16 oktober verscheen er een nieuwe versie van de plug-in die het beveiligingslek verhelpt. In eerste instantie koos de ontwikkelaar ervoor om in de release notes geen details over de kwetsbaarheid te geven, zodat gebruikers de tijd kregen om te updaten. Om het updateproces te versnellen besloot WordPress die automatisch onder websites uit te rollen, ook bij websites waar het automatisch updaten niet stond ingeschakeld. Iets wat bij sommige gebruikers voor kritiek zorgde.
Volgens de ontwikkelaar van de Loginizer heeft WordPress de update uitgerold omdat het om een beveiligingsupdate gaat. WordPress heeft sinds WordPress versie 3.7 de mogelijkheid om kwetsbaarheden in plug-ins via automatische updates te verhelpen. "En we hebben het al vele keren wegens beveiligingslekken in plug-ins gebruikt", zegt Samuel Wood van het WordPress-team. Door de actie van WordPress beschikt inmiddels 89 procent van de websites over een bijgewerkte plug-in. Op de statistiekenpagina van de plug-in staat dat die de afgelopen week meer dan 1,2 miljoen keer is gedownload.
Ik zit ook nog steeds te wachten op Really Simple SSL, die staat bij momenteel bij 4.000.000+ sites actief..
Die wordt overal ingeknalt alsof het niets is.. hopelijk blijft dit gewoon goed gaan natuurlijk, anders moet ik ook honderden sites nalopen :)
Van de week nog een script uit een site gehaald, die deed in 4 regels een poging om een administrator aan te maken, en wanneer dit eenmaal lukte verstuurde die de logingegevens + website via een Telegram api naar.. een onbekende.
WordPress zit er gelukkig bovenop, maar het blijft: gooi niet zomaar elke plugin in je website :)
En vooral geen 2-3 brute-force beveiligers, meer risico dan beveiliging.
Configureer 1 plugin goed, en zo hou je database ook nog een beetje clean.
Al die log's van meerdere plugins wil je niet in je database hebben namelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.