image

Duizenden WordPress-sites over te nemen via lek in registratieplug-in

donderdag 9 december 2021, 16:25 door Redactie, 12 reacties

Duizenden WordPress-sites kunnen door een kwetsbaarheid in de registratieplug-in RegistrationMagic worden overgenomen, ook al is een beveiligingsupdate om het probleem te verhelpen beschikbaar. RegistrationMagic laat WordPress-sites webformulieren maken waarmee bezoekers zich op de website kunnen registreren. Tevens is het mogelijk om via de plug-in bulkmail te versturen. Meer dan 10.000 WordPress-sites maken gebruik van RegistrationMagic.

De plug-in laat gebruikers ook inloggen via derde partijen zoals Facebook. Dit was echter op een onveilige wijze geïmplementeerd waardoor aanvallers als elke willekeurige gebruiker kunnen inloggen, waaronder de beheerder. De enige vereiste is dat de aanvaller het e-mailadres of de gebruikersnaam van de beheerder kent en er een via de plug-in gemaakte inlogpagina beschikbaar is.

De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Het beveiligingslek werd op 16 september door securitybedrijf Wordfence aan de ontwikkelaars gemeld. Die lieten op 25 september weten dat het probleem was verholpen, maar dat bleek niet het geval te zijn. Op 1 november verscheen een gedeeltelijke oplossing, gevolgd door een volledige fix (versie 5.0.1.8) eind november. Van de tienduizend WordPress-sites draait echter veertig procent nog versie 4.6 of ouder en is daardoor kwetsbaar.

Reacties (12)
09-12-2021, 16:41 door Anoniem
Eigenlijk kun je wel stellen dat het Internet ten dode is opgeschreven en ons steeds meer problemen zal gegeven.
Tot de big bang en de chaos compleet zal zijn.
Elke dag hier nieuwe onheils berichten.
Welterusten iedereen.
Want ik zie de urgentie en de reactie nog niet zo.
09-12-2021, 16:48 door Anoniem
Wanneer wordt WordPress nou eindelijk verboden, uit de handel genomen? Wat een gammele rommel!
09-12-2021, 20:57 door Anoniem
Door Anoniem: Eigenlijk kun je wel stellen dat het Internet ten dode is opgeschreven en ons steeds meer problemen zal gegeven.
Tot de big bang en de chaos compleet zal zijn.
Elke dag hier nieuwe onheils berichten.
Welterusten iedereen.
Want ik zie de urgentie en de reactie nog niet zo.
Waarom reageer je dan zelf?
09-12-2021, 20:58 door Anoniem
Door Anoniem: Wanneer wordt WordPress nou eindelijk verboden, uit de handel genomen? Wat een gammele rommel!
Het zijn de plugin's, die problemen geven. Leer eens begrijpend lezen.
10-12-2021, 00:14 door Anoniem
En het beheer en onderhoud door webmasters die hun werk niet (goed) doen.
10-12-2021, 07:37 door Anoniem
Door Anoniem:
Door Anoniem: Eigenlijk kun je wel stellen dat het Internet ten dode is opgeschreven en ons steeds meer problemen zal gegeven.
Tot de big bang en de chaos compleet zal zijn.
Elke dag hier nieuwe onheils berichten.
Welterusten iedereen.
Want ik zie de urgentie en de reactie nog niet zo.
Waarom reageer je dan zelf?


Ondat ik het langzamerhand schokkend vind.
En omdat ik bij het gros van de mensen onverschilligheid(in daad) en zogenaamd verontwaardiging i(n woord )zie.
10-12-2021, 08:41 door Anoniem
Door Anoniem: Wanneer wordt WordPress nou eindelijk verboden, uit de handel genomen? Wat een gammele rommel!

Ja man goed idee! Schrijf even een brief aan de baas van de wereld, dat WP verboden moet worden, samen met alle andere gammele rommel, zoals....ja wat niet eigenlijk? PHP, Java, python, Windows, Douwe Egberts, Aldi, Renauld, VVD, CDA, enz.
10-12-2021, 10:36 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Wanneer wordt WordPress nou eindelijk verboden, uit de handel genomen? Wat een gammele rommel!

Ja man goed idee! Schrijf even een brief aan de baas van de wereld, dat WP verboden moet worden, samen met alle andere gammele rommel, zoals....ja wat niet eigenlijk? PHP, Java, python, Windows, Douwe Egberts, Aldi, Renauld, VVD, CDA, enz.

Nou, volgens mij is het voldoende om alleen de rommel 'uit de handel te nemen'. En als je dit forum goed hebt bijgehouden dan vallen daaronder met name de root causes: PHP en Windows.
10-12-2021, 13:21 door Anoniem
Hahaha wordpress uit de handel, het ligt 9 van de 10 keer aan de plug-in of thema’s die gebruikt worden.
9 van de 10 keer ligt het aan de gebruikers,
Je moet wel regelmatig kijken of er updates zijn voor de plug-ins , thema’s en wordpress zelf.
Nu hoor ik gelijk maar dan werkt mijn website niet meer.
Dan duid het er op dat je thema en plug-ins niet meer geschikt zijn, tijd voor nieuw.
10-12-2021, 14:49 door Anoniem

Nou, volgens mij is het voldoende om alleen de rommel 'uit de handel te nemen'. En als je dit forum goed hebt bijgehouden dan vallen daaronder met name de root causes: PHP en Windows.

Mijn punt is natuurlijk dat het nergens op slaat. Je KUNT Wordpress, PHP en Windows niet "uit de handel nemen". Roepen dat het verboden moet worden slaat ook nergens op. Daarnaast is het slechts jouw mening dat alleen PHP en Windows onder rommel vallen. Er zijn heel wat mensen die daar anders over denken gezien de populariteit van die twee.

Het aanwijzen van een single point of failure geeft al aan dat je zelf niet veel van beveiliging begrijpt. Er zijn hier overigens wel meer mensen die menen dat je alles, maar dan ook alles moet beveiligen met de meest heavy duty middelen die er te vinden zijn. Het equivalent van een twee ton wegende kluisdeur als voordeur in je huis en alle ramen van 5cm dik kogelwerend glas, plus een alarmsysteem en veertig camera's. Dat is simpelweg niet altijd nodig.
10-12-2021, 15:41 door Anoniem
Door Anoniem:

Nou, volgens mij is het voldoende om alleen de rommel 'uit de handel te nemen'. En als je dit forum goed hebt bijgehouden dan vallen daaronder met name de root causes: PHP en Windows.

Mijn punt is natuurlijk dat het nergens op slaat. Je KUNT Wordpress, PHP en Windows niet "uit de handel nemen". Roepen dat het verboden moet worden slaat ook nergens op. Daarnaast is het slechts jouw mening dat alleen PHP en Windows onder rommel vallen. Er zijn heel wat mensen die daar anders over denken gezien de populariteit van die twee.

Het aanwijzen van een single point of failure geeft al aan dat je zelf niet veel van beveiliging begrijpt. Er zijn hier overigens wel meer mensen die menen dat je alles, maar dan ook alles moet beveiligen met de meest heavy duty middelen die er te vinden zijn. Het equivalent van een twee ton wegende kluisdeur als voordeur in je huis en alle ramen van 5cm dik kogelwerend glas, plus een alarmsysteem en veertig camera's. Dat is simpelweg niet altijd nodig.
Populariteit heeft niets met kwaliteit te maken. De Action en windows zijn in mijn wijk ook heel populair maar de kwaliteit is allebei prut. Producten die schade berokkent kunnen zeker uit de handel worden genomen.
10-12-2021, 16:34 door Japie Apie
Helaas, het artikel gaat over Wordpress plugin's, maar het Windows getrol begint weer!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.