WordPress-sites aangevallen via kwetsbaarheid in Elementor Pro
Aanvallers maken actief misbruik van een kwetsbaarheid in de WordPress-plug-in Elementor Pro om zo kwetsbare websites over te nemen of verkeer naar andere sites door te sturen. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit.
Naast de gratis Elementor-plug-in is er ook de betaalde plug-in Elementor Pro. Wanneer Elementor Pro en WooCommerce zijn geïnstalleerd, een plug-in om van WordPress-sites een webwinkel te maken, kan een standaardgebruiker zichzelf beheerder van de website maken. De kwetsbaarheid in Elementor Pro maakt het namelijk mogelijk om de registratiepagina in te schakelen, wanneer die is uitgeschakeld, en de standaardrol naar beheerder te zetten. Elk aangemaakt account heeft dan beheerdersrechten.
Daarnaast is het ook mogelijk om het e-mailadres van alle actieve beheerders te wijzigen of al het verkeer naar de WordPress-site naar een andere website door te sturen. Op 22 maart kwamen de ontwikkelaars van Elementor met een update, maar die maakt niet echt duidelijk wat het probleem is. "Improved code security enforcement in WooCommerce components", aldus de beschrijving. Inmiddels maken aanvallers actief misbruik van de kwetsbaarheid, zo meldt securitybedrijf Patchstack. Beheerders wordt dan ook aangeraden om de update installeren.
en met dezelfde kwetsbaarheid wat betreft diredtory listing.
Een dure en gelikte site zonder het nodige onderhoud en updates wordt snel een kwetsbare site
en vormt een gevaar voor website eigenaar en mogelijke bezoekers.
Waarom mag Interwebz van velen een jungle blijven?
Vanwege het feit dat groot online wild kleiner wild gemakkelijker kan 'opvreten'?
Dat vraag ik me nu al vanaf voor het begin der vorige eeuw af.
en met dezelfde kwetsbaarheid wat betreft diredtory listing.
Een dure en gelikte site zonder het nodige onderhoud en updates wordt snel een kwetsbare site
en vormt een gevaar voor website eigenaar en mogelijke bezoekers.
Waarom mag Interwebz van velen een jungle blijven?
Vanwege het feit dat groot online wild kleiner wild gemakkelijker kan 'opvreten'?
Dat vraag ik me nu al vanaf voor het begin der vorige eeuw af.
Inderdaad echt bizar hoeveel sites hun Wordpress niet fatsoenlijk bij houdem
en met dezelfde kwetsbaarheid wat betreft diredtory listing.
Een dure en gelikte site zonder het nodige onderhoud en updates wordt snel een kwetsbare site
en vormt een gevaar voor website eigenaar en mogelijke bezoekers.
Waarom mag Interwebz van velen een jungle blijven?
Vanwege het feit dat groot online wild kleiner wild gemakkelijker kan 'opvreten'?
Dat vraag ik me nu al vanaf voor het begin der vorige eeuw af.
Inderdaad echt bizar hoeveel sites hun Wordpress niet fatsoenlijk bij houdem
Server inbraak is vele malen interesanter dan 1 site treffen want als je opdrachten op de server kan uitvoeren maakt de site beveiliging nog maar bar weinig uit. Het is echter vele malen complexer om een server over te nemen dan een site en inbraak pogingen mits goed geregeld vallen direct op.
Wil niet zeggen dat servers onfeilbaar zijn maar als servers meestal al getroffen worden dan zijn het grotere criminele groepen die zich ermee bemoeien en heb je het over soms maanden voorbereiding tijd en heel specifiek geschreven malware.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.