10.000 WordPress-sites nog altijd kwetsbaar door lek in Elementor add-on
Zeker tienduizend WordPress-sites zijn nog altijd kwetsbaar voor aanvallen omdat een beschikbare beveiligingsupdate niet is geïnstalleerd. De websites maken gebruik van The Plus Addons voor Elementor. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit.
The Plus Addons is een betaalde uitbreiding voor Elementor die verschillende widgets toevoegt die in combinatie met Elementor zijn te gebruiken. Er zouden zo'n 30.000 WordPress-sites van gebruikmaken. Eén van deze widgets, voor het registreren en inloggen van gebruikers, bevat een kwetsbaarheid. Dit beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Het lek zorgt ervoor dat een aanvaller nieuwe beheerders kan aanmaken of als al bestaande beheerders kan inloggen.
De kwetsbaarheid werd al voor het uitkomen van een beveiligingsupdate aangevallen. Op 9 maart kwamen de ontwikkelaars van de add-on met een patch. Volgens securitybedrijf Wordfence heeft een kleine zestig procent van de websites de update inmiddels geïnstalleerd. Zeker tienduizend websites hebben dat niet gedaan en lopen daardoor risico.
Wordfence claimt dat het miljoenen aanvallen heeft waargenomen waarbij aanvallers het hadden voorzien op het beveiligingslek in The Plus Addons. Zodra aanvallers een website hebben gecompromitteerd voegen ze onder andere JavaScript toe die bezoekers naar malafide websites doorstuurt.
De core-software wordt vaak nog wel goed bijgehouden. Maar configuratie, settings en add-ons?
Het gaat vaak om kwetsbare plug-ins. Soms zelfs om kwetsbare verlaten plug-ins,
waar ook geen nieuwere vork voor is. Hoe onveilig wil je het hebben.
Hallo: https://www.shodan.io/search?query=Elementor
en er zijn nog andere explecietere scans mogelijk.
Hier: elementor 3.1.4 Warning latest release (3.2.1)
-https://elementor.com/
Wat kan er gebeuren er door het brute-forcen van het plug-in pad?
luntrus
Zie alleen al de lekken in 2021:
https://wpscan.com/search?text=elementor
Kortom, updaten, netjes de licenties kopen en checken of er niet ineens nieuwe beheerders in je site zijn bijgekomen.
Aanvulling Javascript Malware,
Zoals het artikel al aangeeft, als er eenmaal beheerderstoegang is voegen ze een javascriptje toe die bezoekers doorstuurt.
1 lijn javascript is zo klein, en niet gemakkelijk te vinden wanneer je niet exact weet hoe je moet zoeken!
Javascript werkt zowel vanuit de code als vanuit de database in de post & pagecontent.
Beperk zoal veel rechten die hacks misbruiken, door WordFence of iThemes Security te installeren EN te configureren!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.