WordPress-sites aangevallen via kritiek beveiligingslek in plug-ins
WordPress-sites zijn het doelwit van een aanval waarbij misbruik wordt gemaakt van kritieke kwetsbaarheden in twee plug-ins genaamd GutenKit en Hunk Companion. Via de beveiligingslekken kan een ongeauthenticeerde aanvaller op afstand willekeurige plug-ins op de website inschakelen, wat uiteindelijk tot remote code execution kan leiden. Volgens securitybedrijf Wordfence is er sprake van grootschalig misbruik.
GutenKit is een plug-in voor de Gutenberg WordPress-editor en helpt gebruikers bij het vormgeven van hun WordPress-site. Meer dan 40.000 websites maken actief gebruik van de plug-in. Hunk Companion is een plug-in die allerlei extra functionaliteit aan WordPress-sites toevoegt. Deze plug-in wordt door meer dan 8.000 websites actief gebruikt.
Oudere versies van de twee plug-ins bleken een publiek toegankelijk API endpoint te hebben waardoor een ongeauthenticeerde aanvaller willekeurige plug-ins op de website kan installeren. Bij de nu waargenomen aanvallen installeren aanvallers een malafide plug-in die een backdoor bevat, waardoor er toegang tot de website wordt behouden. De impact van de kwetsbaarheden (CVE-2024-9234 en CVE-2024-9707) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Beveiligingsupdates voor de kwetsbaarheden in beide plug-ins zijn al meer dan een jaar beschikbaar. Volgens Wordfence wordt er sinds 8 oktober dit jaar actief misbruik van de beveiligingslekken gemaakt. Beheerders die de update nog niet hebben geïnstalleerd worden opgeroepen dit alsnog te doen en hun installatie op de aanwezigheid van verdachte plug-ins te controleren.
Neem de code voor de login-pagina als voorbeeld (https://github.com/WordPress/WordPress/blob/master/wp-login.php). Wtf gebeurt hier allemaal? Dit is blijkbaar meer dan alleen inloggen. Deze code is om je voor kapot te schamen. Zolang we met z'n allen dit soort bagger blijven accepteren, wordt het internet nooit veiliger.
Men laat voor goed geld een gelikte site ontwerpen en vervolgens, uit misplaatste zuinigheid, vergeet men onderhoud.
Zij die er verstand van hebben, tellen niet mee en zij die er geen verstand van plachten te hebben, nemen de beslissingen.
Binnen hoeveel toko's speelt deze problematiek inmiddels al?
De eind(af)rekening, beste mensen, zit altijd nog onder in de zak
en die kan soms bij compromitatie vies en vies tegenvallen qua hoogte en uitwerking dan.
Neem de code voor de login-pagina als voorbeeld (https://github.com/WordPress/WordPress/blob/master/wp-login.php). Wtf gebeurt hier allemaal? Dit is blijkbaar meer dan alleen inloggen. Deze code is om je voor kapot te schamen. Zolang we met z'n allen dit soort bagger blijven accepteren, wordt het internet nooit veiliger.
Ik zou zeggen, deel je kennis en wordt mede ontwikkelaar. Ze zoeken altijd goede programmeurs ;)
En WP is nu eenmaal een veelgebruikt systeem, of je dit nu wel of niet leuk vindt. En het is niet altijd de slager om de hoek die de website heft laten bouwen door een handige neefje.....
Er zou een beter systeem moeten zijn voor controle van plugins, zodat er minder van dit soort problemen zijn.
Maar het zal een kwestie van manuren zijn denk ik, naast genoeg mensen met kennis.
WP is prima op te zetten zodat eea veilig genoeg blijft, maar zodra je met plugins begint is het weer hopen dat het allemaal goed blijft gaan. Minder = Meer als het gaat om het gebruik van plugins in WordPress.
Zolang we met z'n allen dit soort bagger blijven accepteren, wordt het internet nooit veiliger.
We blijven dit gebruiken zolang als er geen gevolgen zijn.
Wordpress is een tool die heel laagdrempelig is en wordt gebruikt door de vele kleine 'design' en 'ontwerp' bureau's in Nederland. Die bureau's doen niets aan veiligheid en hebben meestal enkel 'verstand' van een beetje klikken in een webinterface. Daarom maken ze ook zoveel gebruik van onveilige plugins, men heeft meestal geen technische kennis buiten een appstore. Daarnaast is Wordpress gratis, dus optimaal verdienen. Als de website voor de zoveelste keer 'gehacked' wordt, dan verwijst men gewoon naar het nieuws en doet men alsof het heel normaal is. De klant moet maar een onderhoudsabonnement nemen...
Zolang er geen gevolgen zijn, is het gewoon een businessmodel.
Laten we het omkeren, waarom zou je in vredesnaam aandacht geven aan beveiliging gezien je dan alleen maar duurder uit bent en minder kan verkopen?
Ik zou zeggen, deel je kennis en wordt mede ontwikkelaar. Ze zoeken altijd goede programmeurs ;)
Ik zou zeggen, deel je kennis en wordt mede ontwikkelaar. Ze zoeken altijd goede programmeurs ;)
En welk framework gebruikt u dan?
Wordpress zelf is in mijn ogen prima, het zijn de plugins die de problemen geven.
In mijn geval piept er al drie dagen wat (ik krijg netjes mail van maldet), terwijl een wordfence scan niks kan vinden.
Dieper graven dus hier. Maar ook niet denken, ik gebruik wordfence dùs wat kan er nog mis gaan. Security is ook vooruit blijven denken, en kritisch blijven lezen als er wat op je scherm verschijnt.
Als mijn wifiwasmachine rommel bevat kan het me weinig schelen, maar mijn servers, andere moraal.
.
Android is ook veilig, maar ook daar lopen de aanvallen via apps, om Android af te kraken heeft net zo veel nut als Wordpress af te kraken.
Website geblokkeerd: https://www.rfxn.com
v3.0.27 | Riskware: 2.0.202510240905
Malwarebytes Browser Guard heeft deze pagina geblokkeerd vanwege potentieel kwaadaardige activiteiten.
Warning icon
We raden u met klem aan niet verder te gaan. U kunt uw veiligheid op het spel zetten door deze website te bezoeken.
Deze waarschuwing kan veroorzaakt worden doordat Malwarebytes sommige onderdelen op de site of downloads als riskware of als potentieel schadelijk bestempelt, mogelijk vanwege de aard van antivirus- en malwaretools die soms ook malware-achtige gedragingen kunnen vertonen (zoals het screenen en verwijderen van malware). Dit betekent niet noodzakelijk dat de site zelf kwaadaardig is, maar dat de inhoud of downloads potentieel risico kunnen inhouden als ze verkeerd gebruikt of misbruikt worden.
En welk framework gebruikt u dan?
Wordpress zelf is in mijn ogen prima, het zijn de plugins die de problemen geven.
En natuurlijk mag je vinden dat Wordpress in jouw ogen prima is. Echter, ik vind dat moeilijk te geloven. Of je hebt nog nooit serieus naar de code gekeken en Wordpress alleen maar beoordeeld op de interface (en dat snap ik, want die is goed). Of je hebt wel naar de code gekeken, maar nog nooit gezien hoe goed gestructureerde en veilige code eruit ziet om een vergelijking te kunnen maken. Ik bedoel dit niet als persoonlijke kritiiek, maar iemand die goed verstand heeft van veilige en gestructureerde code, die kan niet anders dan gruwelen van de Wordpress code.
.
Android is ook veilig, maar ook daar lopen de aanvallen via apps, om Android af te kraken heeft net zo veel nut als Wordpress af te kraken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Site Reliability Engineer
NFI
Ben je thuis in het installeren, ontwikkelen en beheren van een groot aantal Linux-systemen? Als jij graag de handen uit de mouwen steekt, zowel thuis bent in software als hardware en oog hebt voor auto-matisering en vernieuwing, dan willen wij jou in ons team!
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?