Duizenden WordPress-sites kwetsbaar door verlaten plug-ins
Duizenden WordPress-sites zijn kwetsbaar voor aanvallers omdat ze oude plug-ins gebruiken die beveiligingslekken bevatten en niet meer door de oorspronkelijke ontwikkelaar worden onderhouden. Via WordPress.org worden meer dan 37.000 plug-ins aangeboden die allerlei extra functionaliteit aan een website toevoegen. Ruim 17.000 van deze plug-ins hebben de afgelopen 2 jaar geen update ontvangen.
Bijna 14.000 plug-ins zeggen compatibel te zijn met WordPress 3.x. WordPress 4.0 verscheen in september 2014. Verder ontdekten onderzoekers 4.000 plug-ins die sinds 2010 niet meer zijn bijgewerkt. Beveiligingsbedrijf Wordfence analyseerde de plug-ins en ontdekte 18 verlaten plug-ins die kwetsbaarheden bevatten en op dit moment via WordPress.org zijn te downloaden.
Verder werden vier plug-ins gevonden waarin een beveiligingslek is gepatcht, alleen de update werd op zo'n manier uitgebracht dat bestaande gebruikers niet automatisch naar de nieuwste versie zijn geüpgraded. De kwetsbare plug-ins hebben bij elkaar 37.000 installaties. Beheerders van WordPress-sites die een kwetsbare plug-in gebruiken krijgen het advies die uit te schakelen en contact met de ontwikkelaar op te nemen over eventuele support.
af te serveren jQuery bibliotheken, niet gegenereerde SRI-hashes, inline scripting, dns en certificaat kwesties, iFrame onveiligheid, Dom XSS script kwesties, cloaking. Oude en onveilige thema code en plug-ins. Duizenden en duizenden WP sites die elk moment op omvallen staan of gecompromitteerd kunnen worden. Toppie van de ijsberg, echt!
Wanneer gaan we er iets aan doen of gaan we mensen opleiden om er iets aan te doen of wil men simpel weg niet,
omdat het sommige partijen wel heel goed uitkomt al die onveiligheid. Je zou het bijna gaan denken.
Ik waarschuw hier al een decennium voor en nog zet het geen zoden aan de dijk en lees ik dit keer op keer op keer.
luntrus
Ik geloof dat Firefox dit beter doet met de plugins?
Ik geloof dat Firefox dit beter doet met de plugins?
Op zich kan het nog eenvoudiger: per vandaag waarschuwen als je op download klikt en hij langer dan 6 maanden niet is onderhouden. En in je admin panel dit ook terug laten komen.
Ik geloof dat Firefox dit beter doet met de plugins?
Op zich kan het nog eenvoudiger: per vandaag waarschuwen als je op download klikt en hij langer dan 6 maanden niet is onderhouden. En in je admin panel dit ook terug laten komen.
En dan? verwacht je dat dan iedereen actie onderneemt? Zo werkt het niet. gebruikers willen zich hier allemaal niet mee bezig zouden. 1 keer installeren, en nooit meer naar kijken....
Kleine sidestep: Het is toch opensource, dus iedereen dan de code / plugin gewoon even updaten. Dat was toch het hele mooie van OpenSource?
Dat is wel jammer. Ik zie het zelf ook bij mijn (joomla) klanten, wel een website, maar geen onderhoud afnemen (doe ik zelf wel), dan glijdt een website snel af naar niveau zo lek als een mandje.
Je bent een potentieel gevaar voor andere Internetgebruikers, dan ook pas weer het Internet op als je je zaakjes op orde hebt of hebt laten brengen. Wie zou hier eigenlijk tegen kunnen zijn? Ik ben voor. En het is ook nog eens goed voor de economie en geeft IT werk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
