Securitybedrijf meldt grootschalige aanvallen op kwetsbare WordPress-plug-ins
De afgelopen wekeen hebben hebben er grootschalige aanvallen op twee kwetsbare WordPress-plug-ins plaatsgevonden, zo stelt securitybedrijf Wordfence op basis van eigen cijfers. Het gaat om advertentieplug-in Adning en de Kaswara Modern WPBakery Page Builder add-on, een uitbreiding die het eenvoudiger moet maken om WordPress-sites te ontwerpen.
In juni 2020 werd er een kwetsbaarheid in Adning gevonden waardoor een ongeauthenticeerde aanvaller willekeurige bestanden naar de WordPress-site kan uploaden, om zo malafide code uit te voeren en volledige controle over de website te krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Ook het beveiligingslek in Kaswara, waarvoor vorig jaar april werd gewaarschuwd, laat een aanvaller malafide php-bestanden uploaden en zo websites overnemen. Voor deze kwetsbaarheid, ook met een impactscore van 10.0, is nooit een update verschenen.
Volgens Wordfence hebben aanvallers de afgelopen weken het lek in de Kaswara-plug-in op zo'n twee miljoen websites geprobeerd, terwijl dat er normaal 256.000 zijn. Verder werd geprobeerd om een miljoen websites via de Adning-kwetsbaarheid aan te vallen, terwijl dat er gemiddeld 375.000 zijn. Het aantal WordPress-sites dat van beide plug-ins gebruikmaakt is echter veel lager. Naar schatting draait de Kaswara-plug-in nog op achtduizend websites, terwijl Adning op nog zo'n zevenhonderd websites actief is. WordPress-beheerders wordt dan ook aangeraden om hun plug-ins up-to-date te houden en te verwijderen wanneer die niet meer worden ondersteund.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.
Wat kost dat dan? Ook gratis?
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.
Los van of ik het met je eens ben of niet, maar dit soort commentaren zijn van dezelfde categorie dat "je geen Windows moet gebruiken omdat je dan virussen krijgt". Voorzie het dan tenminste van concrete alternatieven die gratis, meer secure (om wat voor redenen dan ook), en "echt niet moeilijk" zijn.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.
Los van dat zijn er nu veel betere opensource oplossingen ipv Wordpress.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.
Los van dat zijn er nu veel betere opensource oplossingen ipv Wordpress.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.
Een groot veeldeel is dat er enorm veel documentatie is over hoe je WordPress kunt beveiligen en dat het ook heel gemakkelijk is om uit te vinden hoe hackers binnenkomen. Dat soort informatie is op kleinere platformen veel lastiger te vinden. Bovendien zijn kleinere CMS systemen voor grotere nieuwssites als deze vaak weer niet interessant om over te praten wanneer daar veiligheidsproblemen zijn. Het werken met de marktleider heeft dus voor- en nadelen. Met een goed cyber security beleid is er weinig aan de hand met een WordPress website.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.