Duizenden WordPress-sites over te nemen via lek in registratieplug-in
Duizenden WordPress-sites kunnen door een kwetsbaarheid in de registratieplug-in RegistrationMagic worden overgenomen, ook al is een beveiligingsupdate om het probleem te verhelpen beschikbaar. RegistrationMagic laat WordPress-sites webformulieren maken waarmee bezoekers zich op de website kunnen registreren. Tevens is het mogelijk om via de plug-in bulkmail te versturen. Meer dan 10.000 WordPress-sites maken gebruik van RegistrationMagic.
De plug-in laat gebruikers ook inloggen via derde partijen zoals Facebook. Dit was echter op een onveilige wijze geïmplementeerd waardoor aanvallers als elke willekeurige gebruiker kunnen inloggen, waaronder de beheerder. De enige vereiste is dat de aanvaller het e-mailadres of de gebruikersnaam van de beheerder kent en er een via de plug-in gemaakte inlogpagina beschikbaar is.
De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Het beveiligingslek werd op 16 september door securitybedrijf Wordfence aan de ontwikkelaars gemeld. Die lieten op 25 september weten dat het probleem was verholpen, maar dat bleek niet het geval te zijn. Op 1 november verscheen een gedeeltelijke oplossing, gevolgd door een volledige fix (versie 5.0.1.8) eind november. Van de tienduizend WordPress-sites draait echter veertig procent nog versie 4.6 of ouder en is daardoor kwetsbaar.
Tot de big bang en de chaos compleet zal zijn.
Elke dag hier nieuwe onheils berichten.
Welterusten iedereen.
Want ik zie de urgentie en de reactie nog niet zo.
Tot de big bang en de chaos compleet zal zijn.
Elke dag hier nieuwe onheils berichten.
Welterusten iedereen.
Want ik zie de urgentie en de reactie nog niet zo.
Tot de big bang en de chaos compleet zal zijn.
Elke dag hier nieuwe onheils berichten.
Welterusten iedereen.
Want ik zie de urgentie en de reactie nog niet zo.
Ondat ik het langzamerhand schokkend vind.
En omdat ik bij het gros van de mensen onverschilligheid(in daad) en zogenaamd verontwaardiging i(n woord )zie.
Ja man goed idee! Schrijf even een brief aan de baas van de wereld, dat WP verboden moet worden, samen met alle andere gammele rommel, zoals....ja wat niet eigenlijk? PHP, Java, python, Windows, Douwe Egberts, Aldi, Renauld, VVD, CDA, enz.
Ja man goed idee! Schrijf even een brief aan de baas van de wereld, dat WP verboden moet worden, samen met alle andere gammele rommel, zoals....ja wat niet eigenlijk? PHP, Java, python, Windows, Douwe Egberts, Aldi, Renauld, VVD, CDA, enz.
Nou, volgens mij is het voldoende om alleen de rommel 'uit de handel te nemen'. En als je dit forum goed hebt bijgehouden dan vallen daaronder met name de root causes: PHP en Windows.
9 van de 10 keer ligt het aan de gebruikers,
Je moet wel regelmatig kijken of er updates zijn voor de plug-ins , thema’s en wordpress zelf.
Nu hoor ik gelijk maar dan werkt mijn website niet meer.
Dan duid het er op dat je thema en plug-ins niet meer geschikt zijn, tijd voor nieuw.
Nou, volgens mij is het voldoende om alleen de rommel 'uit de handel te nemen'. En als je dit forum goed hebt bijgehouden dan vallen daaronder met name de root causes: PHP en Windows.
Mijn punt is natuurlijk dat het nergens op slaat. Je KUNT Wordpress, PHP en Windows niet "uit de handel nemen". Roepen dat het verboden moet worden slaat ook nergens op. Daarnaast is het slechts jouw mening dat alleen PHP en Windows onder rommel vallen. Er zijn heel wat mensen die daar anders over denken gezien de populariteit van die twee.
Het aanwijzen van een single point of failure geeft al aan dat je zelf niet veel van beveiliging begrijpt. Er zijn hier overigens wel meer mensen die menen dat je alles, maar dan ook alles moet beveiligen met de meest heavy duty middelen die er te vinden zijn. Het equivalent van een twee ton wegende kluisdeur als voordeur in je huis en alle ramen van 5cm dik kogelwerend glas, plus een alarmsysteem en veertig camera's. Dat is simpelweg niet altijd nodig.
Nou, volgens mij is het voldoende om alleen de rommel 'uit de handel te nemen'. En als je dit forum goed hebt bijgehouden dan vallen daaronder met name de root causes: PHP en Windows.
Mijn punt is natuurlijk dat het nergens op slaat. Je KUNT Wordpress, PHP en Windows niet "uit de handel nemen". Roepen dat het verboden moet worden slaat ook nergens op. Daarnaast is het slechts jouw mening dat alleen PHP en Windows onder rommel vallen. Er zijn heel wat mensen die daar anders over denken gezien de populariteit van die twee.
Het aanwijzen van een single point of failure geeft al aan dat je zelf niet veel van beveiliging begrijpt. Er zijn hier overigens wel meer mensen die menen dat je alles, maar dan ook alles moet beveiligen met de meest heavy duty middelen die er te vinden zijn. Het equivalent van een twee ton wegende kluisdeur als voordeur in je huis en alle ramen van 5cm dik kogelwerend glas, plus een alarmsysteem en veertig camera's. Dat is simpelweg niet altijd nodig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.