WordPress verhelpt meerdere beveiligingslekken
WordPress heeft een beveiligingsupdate uitgebracht die meerdere kwetsbaarheden in het populaire contentmanagementsysteem (cms) verhelpt. Volgens de ontwikkelaars gaat het om zes beveiligingslekken, waaronder cross-site request forgery (csrf) en cross-site scripting (xss).
Mark Maunder van beveiligingsbedrijf Wordfence sluit echter niet uit dat er meer problemen in WordPress 4.7.5 zijn opgelost. "Ik maak me zorgen dat deze versie mogelijk meer kwetsbaarheden heeft verholpen dan in het WordPress-blog wordt gemeld. Het zou niet de eerste keer zijn." De update kan via de automatische updatefunctie van WordPress worden geïnstalleerd, alsmede handmatig. WordPress wordt door meer dan een kwart van de 10 miljoen populairste websites op internet gebruikt en door 59 procent van alle websites met een cms.
Kijk hier maar eens wat er op een WordPress website zoal fout kan zitten: https://hackertarget.com/wordpress-security-scan/
Vaak gezien en te vaak: oude software versies en outdated plug-ins of zelfs verlaten code. User Enumeration en Directory Listing enabled, iFrame narigheid, cloaking, niet vasthouden aan de same origin regel, geen goede security headers gegenereerd, geen sri hashes gegenereerd en nog veel meer onveilighied (dns, certificaten).
Er zijn dus een heleboel websites waar het CMS niet onderhouden wordt zoals het hoort, waar af te serveren of zelfs verlaten code wordt gebruikt. Men zou hier eens een scannetje moeten doen: https://aw-snap.info/file-viewer/
Redleg geeft genoeg aan. Ik heb dit al tig keer hier gepost in verschillende vormen en met scanner voorbeelden,
maar ik vrees dat het paarlen voor de zwijnen blift en in essentie zie ik niet veel veranderen bij website onderhoud en zeker niet het oppikken van zogenaamde "best practices".
Waarom blijven we zulke algemene onveiligheid van de website infrastuctuur toch tolereren en waarom halen we zulke stumperds met hun brakke zooi niet van het Internet af net als een wrakke auto van de weg wordt gehaald. Ik begrijp er niets van.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
