Populairste Wordpress-plug-ins vol lekken
Veel populaire plug-ins voor WordPress zijn kwetsbaar voor veelvoorkomende webaanvallen, en dat is een probleem, want een kwart van alle websites op internet maakt gebruik van WordPress. WordPress is gratis software waarmee internetgebruikers snel en eenvoudig een eigen website of blog kunnen starten. Het zou voor een kwart van alle websites op internet verantwoordelijk zijn.
Checkmarx, een bedrijf dat de broncode van open source software analyseert, maakte een analyse van de 50 populairste WordPress-plug-ins. 20% bleek kwetsbaar voor veel voorkomende aanvallen. Het gaat dan om zaken als SQL Injection (SQLi), Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) en Path Traversal (PT).
In totaal zijn de kwetsbare plug-ins 8 miljoen keer gedownload. Naast de 50 populairste plug-ins werden ook de 10 populairste populairste e-commerce plug-ins gecontroleerd. Hier bleek dat 7 van de 10 plug-ins met de eerder genoemde problemen te maken hadden. De kwetsbare e-commerce plug-ins zijn meer dan 1,7 miljoen keer gedownload.
Martplaats
Slechts zes van de onderzochte plug-ins wisten alle gevonden problemen in een periode van zes maanden op te lossen, hoewel alle plug-ins in deze periode met nieuwe versies kwamen. Volgens Checkmarx is het grote probleem dat veel marktplaatsen die de WordPress-plug-ins en apps aanbieden, geen securitystandaarden hanteren.
"Een ontwikkelaar met haast zal zich niet om de security druk maken als de release nadert", laat het bedrijf weten. Het ziet daarom in app-marktplaatsen de ideale partij om ervoor te zorgen dat alleen veilige apps en plug-ins worden aangeboden.
vb: de eerste e-commerce shopping cart plugin is hoogstwaarschijnlijk:
http://wordpress.org/plugins/eshop/ (eShop)
met beetje zoeken kun je de meeste andere ook wel achterhalen
Moet je zelf ea bij elkaar gaan schrapen, als er downloads bij komen zal het nummer niet meer overeen komen en weten mensen misschien niet dat hun plugin vol met SQLi zit..:(
Dan kun je tenminste zelf ook iets ondernemen voordat je de plugin gaat gebruiken.
Goed te weten dat er lui zijn die hier goed naar kijken en laten weten dat het niet helemaal 100% ok is. Wel jammer dat het niet volledig genoeg is (welke plugins? Wat moet/kan je doen om het zelf te detecteren?) en dus, wat mij betreft, een zinloos stuk is geworden. Als ex-programmeur en web-bouwer wil je gewoon meer weten :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
