Honderden kwetsbaarheden in WordPress-plug-ins nog altijd zonder update
Dit jaar zijn er al 2500 kwetsbaarheden in plug-ins voor WordPress gerapporteerd, maar voor honderden van deze beveiligingslekken zijn nog geen updates beschikbaar gemaakt. Dat meldt securitybedrijf Wordfence. Volgens cijfers van W3Techs draait 43,2 procent van alle websites op WordPress. Voor het platform is een groot aantal plug-ins en themes beschikbaar die door externe ontwikkelaars worden ontwikkeld.
Veel van de kwetsbaarheden waar WordPress-sites mee te maken hebben bevinden zich in deze plug-ins. Zo werden dit jaar pas zes kwetsbaarheden in WordPress zelf gerapporteerd, tegenover 2500 in de verschillende plug-ins voor het platform. In de meeste gevallen gaat het om cross-site scripting waarmee een aanvaller in het ergste geval cookies van de beheerder kan stelen om zo de website over te nemen.
Verder blijkt uit de cijfers van Wordfence dat de meeste kwetsbaarheden, zo'n tweeduizend, een medium impact hebben. Wat niet meevalt is het aantal beveiligingslekken dat nog op een update wacht. Van de 2500 gerapporteerde kwetsbaarheden in plug-ins zijn er 678 niet door de ontwikkelaar verholpen. Dat komt neer op meer dan een kwart van de bekende beveiligingslekken.
Het gaat in dit geval om plug-ins die niet of nauwelijks meer worden ondersteund door de ontwikkelaar. WordPress verwijdert deze plug-ins vaak uit de eigen repository, zodat die niet meer door andere websites zijn te downloaden. Daarmee wordt echter niet het probleem verholpen voor websites die de betreffende plug-ins al hebben geïnstalleerd. Wordfence adviseert beheerders dan ook om dergelijke plug-ins te verwijderen voordat aanvallers er misbruik van maken.
Die hoef je niet te gebruiken en dat risico is dus voor jezelf.
maar vele van de plug-ins zijn daarnaast ook nog eens niet van updates voorzien.
Doe eens een scan van een willekeurige Word Press website en verbaas je vervolgens:
https://hackertarget.com/wordpress-security-scan/
En ga eens naar de console met Ctrl+Shift+I en doe eens een scannetje met webhint (als browser developer extensie).
Neem ook gelijk even een scannetje op af te voeren kwetsbaar jquery script mee via de extensie retire.js.
Tenslotte een SSL scannetje of een met Recx Securkity Analyser, dit brengt ook het nodige aan het licht.
WordPress websites voor de Hall of Fame zijn er niet zoveel, voor de Hall of Shame des te meer,
luntrus
maar vele van de plug-ins zijn daarnaast ook nog eens niet van updates voorzien.
Doe eens een scan van een willekeurige Word Press website en verbaas je vervolgens:
https://hackertarget.com/wordpress-security-scan/
En ga eens naar de console met Ctrl+Shift+I en doe eens een scannetje met webhint (als browser developer extensie).
Neem ook gelijk even een scannetje op af te voeren kwetsbaar jquery script mee via de extensie retire.js.
Tenslotte een SSL scannetje of een met Recx Securkity Analyser, dit brengt ook het nodige aan het licht.
WordPress websites voor de Hall of Fame zijn er niet zoveel, voor de Hall of Shame des te meer,
luntrus
Mooie site om te scannen, alleen geeft hij onder "User enumeration" wel de inlognaam van de site, dus alleen het wachtwoord nog en je bent in de admin.
Beetje heel erg slordig...
Ik kan het niet genoeg benadrukken, anders is het inderdaad wat je bromt, anoniem van 14:40,
dan ben je voer voor de poes en die hoeft niet eens l33t te zijn.
luntrus
- libs als SSL
- Webserver software
- PHP 5/6/7/8/etc.
- MySQL server/client
- WordPress met HTML versie X
- WordPress-template met CC versie X
- WordPress-plugin met API versie X
Hoe lang wil je dat zo'n pakket houdbaar blijft?
CMS: lekker makkelijk zodat de klant zelf dingen kan doen.
Maar tegelijkertijd zelf nooit de updates doet.
Zodat de leverancier nog steeds hooi op z'n vork heeft.
maar vele van de plug-ins zijn daarnaast ook nog eens niet van updates voorzien.
Doe eens een scan van een willekeurige Word Press website en verbaas je vervolgens:
https://hackertarget.com/wordpress-security-scan/
En ga eens naar de console met Ctrl+Shift+I en doe eens een scannetje met webhint (als browser developer extensie).
Neem ook gelijk even een scannetje op af te voeren kwetsbaar jquery script mee via de extensie retire.js.
Tenslotte een SSL scannetje of een met Recx Securkity Analyser, dit brengt ook het nodige aan het licht.
WordPress websites voor de Hall of Fame zijn er niet zoveel, voor de Hall of Shame des te meer,
luntrus
Mooie site om te scannen, alleen geeft hij onder "User enumeration" wel de inlognaam van de site, dus alleen het wachtwoord nog en je bent in de admin.
Beetje heel erg slordig...
Dat is voor zo een tool juist goed. Dit moet jij zelf dus beschermen!
Dus niet onvermeld gelaten, want dan leert men nooit goede website-onderhoud. ;)
Voor een Magento webshop-site bestaat er ook een mooie scansite, namelijk:
https://www.magereport.com/ (met dank voor het initiatief van onderzoeker GWillem).
Maar wat heeft men aan een mooi ontwikkelde, gelikte website,
als men daarna niets meer aan het onderhoud van het CMS (en plug-ins) doet.
Dan zit de rekening toch altijd na enige tijd onder in de zak.
En dat bovenstaande geldt helaas veel te vaak voor op PHP-gebaseerd website-CMS.
Idem dito verhaal in geval van een zogeheten 'parked' website.
Ook moeten bij website het niet gebruiken van best policies (CMS etc.) aangekaart worden.
Door hier geen aandacht voor te hebben komen nog te veel website bezoekers in gevaar.
luntrus
is dit toch wel even een dingetje.
Maar eerlijk is eerlijk, security.nl heeft elke keer dit gerapporteerd en aan de bel getrokken.
Hulde daarvoor. Instructing the choir, one at a time.
De impact qua verbetering van de plug-in security blijft te laag,
maar elke website admin, die er wat aan gaat doen, is er wel 1.
Website security en error-hunten, je gaat het bijna als een onbegonnen taak beschouwen.
Dus, degenen, die we hier erop gewezen hebben, onthou het, dan gaat deze kennis niet meer weg.
luntrus
https://www.wordfence.com/blog/2023/08/demystifying-the-wordpress-vulnerability-landscape-2023-mid-year-wordfence-intelligence-wordpress-vulnerability-review-leveraging-chatgpt/
luntrus
maar vele van de plug-ins zijn daarnaast ook nog eens niet van updates voorzien.
Doe eens een scan van een willekeurige Word Press website en verbaas je vervolgens:
https://hackertarget.com/wordpress-security-scan/
Ik verbaas me vooral om de stupiditeit van deze tool. Die zoekt alleen in de root naar standaard plekken. Installeer je WordPress in een andere directory dan vind ie meteen helemaal niks.
Kijk een l33t website developer zal zo'n tool ook helemaal niet nodig hebben.
Die weet zelf wel dat ie moet updaten en upgraden en hoe veilig te configureren.
Daar gaat het dus ook helemaal niet om.
De tool is bedoeld voor een primaire quick and dirty.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.