Twee miljoen WordPress-sites getroffen door ernstig lek in plug-in
Een ernstig beveiligingslek in een populaire plug-in raakt zo'n twee miljoen WordPress-sites, hoewel het werkelijke aantal nog hoger kan liggen. All in One SEO for WordPress moet ervoor zorgen dat websites een betere ranking in zoekmachines krijgen. De plug-in is op meer dan drie miljoen websites geïnstalleerd.
De plug-in bevat twee kwetsbaarheden waardoor een aanvaller in het ergste geval code op de server kan uitvoeren en de website kan overnemen, zo meldt WordPressbeveiliger Jetpack. Het gevaarlijkste beveiligingslek, CVE-2021-25036, heeft op een schaal van 1 tot en met 10 een impactscore van 9,9. Via de kwetsbaarheid kunnen gebruikers met low-privileged accounts, zoals abonnees, hun rechten verhogen en kwaadaardige code op de server uitvoeren.
Het andere beveiligingslek, waarvan de impact met een 7,7 is beoordeeld, betreft geauthenticeerde SQL-injection. Gebruikers met een low-privileged account kunnen toegang tot vertrouwelijke data uit de database krijgen, zoals gebruikersnamen en gehashte wachtwoorden. De kwetsbaarheden zijn aanwezig in versie 4 van de plug-in en verholpen met versie 4.1.5.3 die vorige week uitkwam.
Volgens statistieken heeft All in One SEO for WordPress meer dan drie miljoen actieve installaties. Zo'n zestig procent draait versie 4 van de plug-in. Van 29 procent wordt het versienummer niet vermeld.
Het probleem zijn voornamelijk de plugins en de klungelinge "bouwers", blijf van het internet af gradje71.
WordPress zelf zit best goed in elkaar, zeker met alle automatische updates. Het zijn meer die plugins die gemaakt worden door absolute noobs.
Wordpress en Flash akkoord maar Java? Misschien verwar je het met JavaScript maar dan snap ik het nog niet. Java zelf is een zeer veilige en robuuste programmeertaal die massaal gebruikt wordt. In telefoons is Android ermee gemaakt. Op servers heb je het Java EE platform. Pure professionaliteit en kwaliteit in vergelijking met de concurrentie.
Wordpress en Flash akkoord maar Java? Misschien verwar je het met JavaScript maar dan snap ik het nog niet. Java zelf is een zeer veilige en robuuste programmeertaal die massaal gebruikt wordt. In telefoons is Android ermee gemaakt. Op servers heb je het Java EE platform. Pure professionaliteit en kwaliteit in vergelijking met de concurrentie.
Ik geloof dat jij de Java taal verward met de Runtime/SDK. De Oracle Java runtime is heeft enorm vaak grote lekken. Ik denk dat de poster waar je op reageert denk dat Log4j een Java onderdeel is, wat natuurlijk niet zo is.
luntrus
Hoe leer je goed en veilig coderen ? Ik denk dat meer een vraag is.
Helaas gebeurd het vandaag de dag nog steeds dat zelfs grotere bekende plugins een lek bevat.
Naar mijn idee is open-source een hele goede oplossing, maar voor enterprise gebruik absoluut niet ideaal.
Iedereen heeft toegang tot de codes en kan hier op in spelen.
Daarnaast is het uiteraard van belang, mocht je Wordpress gebruiken, dagelijks te checken naar updates en je servers voldoende te beschermen tegen aanvallen.
Wordpress en Flash akkoord maar Java? Misschien verwar je het met JavaScript maar dan snap ik het nog niet. Java zelf is een zeer veilige en robuuste programmeertaal die massaal gebruikt wordt. In telefoons is Android ermee gemaakt. Op servers heb je het Java EE platform. Pure professionaliteit en kwaliteit in vergelijking met de concurrentie.
Dat Java een veilige en robuuste programmeertaal is geloof ik direct maar dat Android daarop gemaakt is klopt eenvoudigweg niet. Android is gebouwd o.b.v. een Linux kernel.
Quote: "Android is a mobile operating system based on a modified version of the Linux kernel and other open source software, designed primarily for touchscreen mobile devices such as smartphones and tablets."
bron: https://en.wikipedia.org/wiki/Android_(operating_system)
Wordpress en Flash akkoord maar Java? Misschien verwar je het met JavaScript maar dan snap ik het nog niet. Java zelf is een zeer veilige en robuuste programmeertaal die massaal gebruikt wordt. In telefoons is Android ermee gemaakt. Op servers heb je het Java EE platform. Pure professionaliteit en kwaliteit in vergelijking met de concurrentie.
Dat Java een veilige en robuuste programmeertaal is geloof ik direct maar dat Android daarop gemaakt is klopt eenvoudigweg niet. Android is gebouwd o.b.v. een Linux kernel.
Toch wel hoor. Dat Android met Java is gemaakt sluit nog niet uit dat daaronder een Linux kernel ligt. Zie hier een mooi plaatje:
https://developer.android.com/guide/platform/
Toegegeven: beter had ik geschreven "is deels met Java gemaakt".
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.