WordPress-sites aangevallen via kritiek beveiligingslek in plug-in Post SMTP
WordPress-sites worden actief aangevallen via een kritieke kwetsbaarheid in de plug-in Post SMTP. Een beveiligingsupdate is sinds een aantal dagen beschikbaar, maar zo'n tweehonderdduizend websites hebben die niet geïnstalleerd. Post SMTP is een plug-in waarmee het mogelijk is om een SMTP-mailer in WordPress in te stellen voor het versturen van e-mail. Meer dan 400.000 websites op internet maken er gebruik van.
De kwetsbaarheid in de plug-in (CVE-2025-11833) zorgt ervoor dat een ongeauthenticeerde aanvaller op afstand elke gelogde e-mail kan lezen, waaronder e-mails met een link voor het resetten van wachtwoorden. Een aanvaller kan zo eerst een wachtwoordreset voor de administrator van de website aanvragen en vervolgens de verstuurde e-mail in de logbestanden lezen. Met de resetlink kan de aanvaller vervolgens een ander wachtwoord voor het admin-account instellen en zo de website overnemen.
De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van de plug-in kwamen op 29 oktober met een beveiligingsupdate. Volgens cybersecuritybedrijf Wordfence maken aanvallers sinds 1 november misbruik van het beveiligingslek. Cijfers van WordPress.org laten zien dat zo'n tweehonderdduizend websites de update nog niet hebben geïnstalleerd.
Het onderhoud vindt vervolgens niet plaats, want die er geen verstand van hebben, nemen de beslissingen
en die er verstand van hebben, doen er niet toe. Gevolg wat je boven leest.
Er is een plug-in waarin een lek was, dit is door de ontwikkelaar van de plug-in opgelost, maar veel beheerders hebben de plug-in niet geudate.
Als mensen research doen naar hun Wordpress werk en niet 1281 onnodige plug-ins op hun site zouden gooien dan voorkomen we dit soort geneuzel.
Echter is het in dit geval helaas anders, Post SMTP is een zeer veel gebruikte en redelijk hoog aangeschreven plug-in dus dit bericht is best jammer...
~FF
Het is geen lek in Wordpress, het is zoals gewoonlijk weer in een plugin.
Het onderhoud vindt vervolgens niet plaats, want die er geen verstand van hebben, nemen de beslissingen
en die er verstand van hebben, doen er niet toe. Gevolg wat je boven leest.
Klanten denken lekker goedkoop uit te zijn omdat ze zo budget hosting bedrijf zien adverteren met 1 euro voor domein en 10 euro per jaar voor hosting die vervolgens auto-update aanzet en nooit meer naar omkijken als je al dat geluk hebt. Je kan als je beetje business sense hebt ook wel uitvogelen dat je daar niks voor terug krijgt met zulke bedragen maar helaas hoef je geen verplicht ondernemers examen af te ronden om een bedrijf te mogen leiden. Managed (site) hosting is er met een reden en ja dat kost geld als je niet zelf de verantwoordelijkheid wilt dragen voor het beheer of iemand in bedrijf in dienst al hebt (met verstand ervan)
Hoe vaak wij wel niet klanten krijgen die het na poos te duur vinden om een abonnement aan te houden en vervolgens maanden later met staart tussen benen terugkomen van een budget hoster of bij het neefje van omdat de site of compleet stuk is of gehijacked staat en ze geen ondersteuning krijgen. Vervolgens zijn ze driedubbel zo duur uit bij ons dan als ze gewoon normaal hadden betaald want tja nu moet je naast site maatwerk ook nog eens werk maken van domeinnaam en IP reputatie schade en SEO herstel verrichten.
Je kan Wordpress vervangen met elk willekeurig CMS dit is primair een klant als oorzaak en geen software probleem.
Daar kun je over discussiëren. Eigenlijk geeft Wordpress teveel privileges aan plugins. Men had veel strengere eisen kunnen opstellen, zoals ook voor browser plugins gebeurd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?