image

Populairste Wordpress-plug-ins vol lekken

donderdag 20 juni 2013, 11:13 door Redactie, 5 reacties

Veel populaire plug-ins voor WordPress zijn kwetsbaar voor veelvoorkomende webaanvallen, en dat is een probleem, want een kwart van alle websites op internet maakt gebruik van WordPress. WordPress is gratis software waarmee internetgebruikers snel en eenvoudig een eigen website of blog kunnen starten. Het zou voor een kwart van alle websites op internet verantwoordelijk zijn.

Checkmarx, een bedrijf dat de broncode van open source software analyseert, maakte een analyse van de 50 populairste WordPress-plug-ins. 20% bleek kwetsbaar voor veel voorkomende aanvallen. Het gaat dan om zaken als SQL Injection (SQLi), Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) en Path Traversal (PT).

In totaal zijn de kwetsbare plug-ins 8 miljoen keer gedownload. Naast de 50 populairste plug-ins werden ook de 10 populairste populairste e-commerce plug-ins gecontroleerd. Hier bleek dat 7 van de 10 plug-ins met de eerder genoemde problemen te maken hadden. De kwetsbare e-commerce plug-ins zijn meer dan 1,7 miljoen keer gedownload.

Martplaats
Slechts zes van de onderzochte plug-ins wisten alle gevonden problemen in een periode van zes maanden op te lossen, hoewel alle plug-ins in deze periode met nieuwe versies kwamen. Volgens Checkmarx is het grote probleem dat veel marktplaatsen die de WordPress-plug-ins en apps aanbieden, geen securitystandaarden hanteren.

"Een ontwikkelaar met haast zal zich niet om de security druk maken als de release nadert", laat het bedrijf weten. Het ziet daarom in app-marktplaatsen de ideale partij om ervoor te zorgen dat alleen veilige apps en plug-ins worden aangeboden.

Reacties (5)
20-06-2013, 14:33 door Anoniem
Wat een onzin dat ze de namen censoreren.. met een beetje zoekwerk kun je de namen met een best hoog zekerheid percentage achterhalen...

vb: de eerste e-commerce shopping cart plugin is hoogstwaarschijnlijk:
http://wordpress.org/plugins/eshop/ (eShop)

met beetje zoeken kun je de meeste andere ook wel achterhalen
21-06-2013, 12:47 door Anoniem
Mijn zoekvaardigheid is niet zo goed denk ik, hoe kom je tot de eShop conclusie?
21-06-2013, 13:00 door Anoniem
Mee eens, het helpt ook niet en is irritant.
Moet je zelf ea bij elkaar gaan schrapen, als er downloads bij komen zal het nummer niet meer overeen komen en weten mensen misschien niet dat hun plugin vol met SQLi zit..:(
21-06-2013, 18:51 door Bovelett
Ik ben erg benieuwd of het hier alleen gratis plugins betreft, of ook betaalde?
22-06-2013, 23:36 door Anoniem
Ben zelf erg benieuwd op welke 'scan'-tools ze doelen.
Dan kun je tenminste zelf ook iets ondernemen voordat je de plugin gaat gebruiken.

Goed te weten dat er lui zijn die hier goed naar kijken en laten weten dat het niet helemaal 100% ok is. Wel jammer dat het niet volledig genoeg is (welke plugins? Wat moet/kan je doen om het zelf te detecteren?) en dus, wat mij betreft, een zinloos stuk is geworden. Als ex-programmeur en web-bouwer wil je gewoon meer weten :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.