Wordpress ....... Een CMS systeem, dat niet voldoet (niet volledig kan voldoen) aan de W3C standaarden.

Wel noem maar eens eentje die volgens jou aan *alle* standaarden kan voldoen.

De benodigde 'object injection' kwetsbaarheden komen echter op grote schaal voor in themes en plug-ins...

Altijd al het grote probleem geweest bij WP.

Inherent met plug-ins op CMS met PHP.
Doe een scan: https://hackertarget.com/wordpress-security-scan/
Zijn al de gebruikte plug-ins up-to-date?

En gebruik eens de Hints extensie scan binnen je developers'console. (Ctrl+Shift+I).


luntrus

Op mijn WP site staan de plug-in en Wp updates gewoon op automatisch.
Verder een kwestie van selectief zijn met plug-ins en je bent al een heel eind.

Verwarrend kan zijn dat Wordfence een week geleden nog waarschuwde voor een fake security update (zie https://www.wordfence.com/blog/2023/12/psa-fake-cve-2023-45124-phishing-scam-tricks-users-into-installing-backdoor-plugin/).

Dubbel-check dat je software van de site met de juiste domeinnaam downloadt, dus niet van zoiets als

en-gb-wordpress.org

Een site waar Google en Let's Encrypt, zonder blikken of blozen, certificaten voor uitgeven (zie https://crt.sh/?q=en-gb-wordpress.org) - want daarop letten vinden zij de taak van DNS registrars. En als het ook die registrars een rotzorg zal zijn (wat in elk geval voor een deel van hen geldt) moet elke bezoeker zelf maar zien uit te vinden dat het om een nepsite gaat.

Voor minder ervaren internetters: merk op dat het bij de volgende (mogelijke) domeinnamen om totaal verschillende eigenaren kan gaan:

en-gb-wordpress.org
en-gb.wordpress.org

Een horizontaal streepje (minnetje) wordt hetzelfde behandeld als letters en cijfers in domeinnamen, terwijl de punt een functioneel scheidingsteken is; in de onderste domeinnaam is en-gb een subdomein van wordpress.org.

De eigenaar (effectief de huurder) van een domeinnaam zoals wordpress.org is automatisch eigenaar van alle mogelijke subdomeinen van die site (naar keuze kunnen zij een IP-adres van een server van een derde partij aan zo'n subdomeinnaam koppelen, maar het initiatief daartoe en de verantwoordelijkheid daarvoor ligt bij de eigenaar van het hoofddomein). Als je de eigenaar van wordpress.org vertrouwt, is het gebruikelijk om ook subdomeinnamen van zo'n hoofddomein te vertrouwen. Dat geldt ook voor sub.sub.hoofddomein.tld (tld = Top Level Domain), en voor sub sub.sub.hoofddomein.tld etcetera.

Lastig is dat eigenaren van sommige hoofddomeinnamen subdomeinen "onderverhuren"; van dergelijke hoofdomeinen kun je daardoor niet zomaar zeggen of ze betrouwbaar zijn of niet. Voorbeelden hiervan zijn workers.dev en pages.dev waaronder zeer veel phishing sites worden gehost, zie bijv. https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/its-raining-phish-and-scams-how-cloudflare-pages-dev-and-workers-dev-domains-get-abused/.

Andere voorbeelden van de vele onderverhuurders zijn vercel.app, weebly.com, my.id, 000webhostapp.com, maar ook blogspot.TLD (waarbij TLD vanalles kan zijn, waaronder .com of bijv. .nl) en github.io.

@Erik van Straten,

Bedankt voor de verduidelijking.

Een onuitputtelijke bron van "abuse", wat je daar aanvoert.

#laufer

Dank voor de tips, alleen waar kan ik die Hints extensie scan vinden?
Heb overal gekeken in de developer console...

Alvast bedankt!