image

Duizenden WordPress-sites kwetsbaar door verlaten plug-ins

donderdag 11 mei 2017, 10:37 door Redactie, 7 reacties

Duizenden WordPress-sites zijn kwetsbaar voor aanvallers omdat ze oude plug-ins gebruiken die beveiligingslekken bevatten en niet meer door de oorspronkelijke ontwikkelaar worden onderhouden. Via WordPress.org worden meer dan 37.000 plug-ins aangeboden die allerlei extra functionaliteit aan een website toevoegen. Ruim 17.000 van deze plug-ins hebben de afgelopen 2 jaar geen update ontvangen.

Bijna 14.000 plug-ins zeggen compatibel te zijn met WordPress 3.x. WordPress 4.0 verscheen in september 2014. Verder ontdekten onderzoekers 4.000 plug-ins die sinds 2010 niet meer zijn bijgewerkt. Beveiligingsbedrijf Wordfence analyseerde de plug-ins en ontdekte 18 verlaten plug-ins die kwetsbaarheden bevatten en op dit moment via WordPress.org zijn te downloaden.

Verder werden vier plug-ins gevonden waarin een beveiligingslek is gepatcht, alleen de update werd op zo'n manier uitgebracht dat bestaande gebruikers niet automatisch naar de nieuwste versie zijn geüpgraded. De kwetsbare plug-ins hebben bij elkaar 37.000 installaties. Beheerders van WordPress-sites die een kwetsbare plug-in gebruiken krijgen het advies die uit te schakelen en contact met de ontwikkelaar op te nemen over eventuele support.

Reacties (7)
11-05-2017, 11:58 door Anoniem
Dit is al jaren en jaren bekend. Misconfiguraties (user enumeration set as enabled, directory listing set as enabled),
af te serveren jQuery bibliotheken, niet gegenereerde SRI-hashes, inline scripting, dns en certificaat kwesties, iFrame onveiligheid, Dom XSS script kwesties, cloaking. Oude en onveilige thema code en plug-ins. Duizenden en duizenden WP sites die elk moment op omvallen staan of gecompromitteerd kunnen worden. Toppie van de ijsberg, echt!

Wanneer gaan we er iets aan doen of gaan we mensen opleiden om er iets aan te doen of wil men simpel weg niet,
omdat het sommige partijen wel heel goed uitkomt al die onveiligheid. Je zou het bijna gaan denken.

Ik waarschuw hier al een decennium voor en nog zet het geen zoden aan de dijk en lees ik dit keer op keer op keer.

luntrus
11-05-2017, 13:24 door ph-cofi
(...)18 verlaten plug-ins die kwetsbaarheden bevatten en op dit moment via WordPress.org zijn te downloaden
Opruimen van functionaliteit en gegevens is helaas ondergeschoven. Toch kan WP blijkbaar op een makkelijke manier zorgen dat oude meuk niet meer werkt na enige tijd om ontwikkelaars te dwingen keuzes te maken: meebewegen of afscheid nemen van.
Ik geloof dat Firefox dit beter doet met de plugins?
11-05-2017, 14:59 door Anoniem
Door ph-cofi:
(...)18 verlaten plug-ins die kwetsbaarheden bevatten en op dit moment via WordPress.org zijn te downloaden
Opruimen van functionaliteit en gegevens is helaas ondergeschoven. Toch kan WP blijkbaar op een makkelijke manier zorgen dat oude meuk niet meer werkt na enige tijd om ontwikkelaars te dwingen keuzes te maken: meebewegen of afscheid nemen van.
Ik geloof dat Firefox dit beter doet met de plugins?

Op zich kan het nog eenvoudiger: per vandaag waarschuwen als je op download klikt en hij langer dan 6 maanden niet is onderhouden. En in je admin panel dit ook terug laten komen.
11-05-2017, 17:43 door Anoniem
Door Anoniem:
Door ph-cofi:
(...)18 verlaten plug-ins die kwetsbaarheden bevatten en op dit moment via WordPress.org zijn te downloaden
Opruimen van functionaliteit en gegevens is helaas ondergeschoven. Toch kan WP blijkbaar op een makkelijke manier zorgen dat oude meuk niet meer werkt na enige tijd om ontwikkelaars te dwingen keuzes te maken: meebewegen of afscheid nemen van.
Ik geloof dat Firefox dit beter doet met de plugins?

Op zich kan het nog eenvoudiger: per vandaag waarschuwen als je op download klikt en hij langer dan 6 maanden niet is onderhouden. En in je admin panel dit ook terug laten komen.

En dan? verwacht je dat dan iedereen actie onderneemt? Zo werkt het niet. gebruikers willen zich hier allemaal niet mee bezig zouden. 1 keer installeren, en nooit meer naar kijken....


Kleine sidestep: Het is toch opensource, dus iedereen dan de code / plugin gewoon even updaten. Dat was toch het hele mooie van OpenSource?
11-05-2017, 19:25 door Anoniem
Te veel klanten van webbouwers nemen geen onderhoudscontract, en de webbouwer kan ook niet eeuwig blijven updaten.
Dat is wel jammer. Ik zie het zelf ook bij mijn (joomla) klanten, wel een website, maar geen onderhoud afnemen (doe ik zelf wel), dan glijdt een website snel af naar niveau zo lek als een mandje.
11-05-2017, 22:51 door Anoniem
Eigenlijk zou je met zo'n brakke website het Internet niet opmogen net als met een kar met slechte banden je de weg niet op kan omdat je andere weggebruikers in gevaar brengt. Wanneer gaan we ook zo handelen op het Internet?

Je bent een potentieel gevaar voor andere Internetgebruikers, dan ook pas weer het Internet op als je je zaakjes op orde hebt of hebt laten brengen. Wie zou hier eigenlijk tegen kunnen zijn? Ik ben voor. En het is ook nog eens goed voor de economie en geeft IT werk.
12-05-2017, 09:08 door Anoniem
De simpele plugins op mijn website ben ik langzaam aan het vervangen door mijn eigen code. Dat hoeft natuurlijk niet veiliger te zijn, maar zonder duizend nuttoze functionaliteiten blijft de code wel veel overzichtelijker.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.