Backdoor in WordPress-plug-in met 200.000 installaties
Onderzoekers hebben in een WordPress-plug-in met meer dan 200.000 installaties een backdoor ontdekt. Het gaat om de plug-in Display Widgets, waarmee content in de zijbalk van websites per pagina kan worden ingesteld. De plug-in werd in juni van dit jaar door de originele ontwikkelaar verkocht.
De laatste drie versies van de plug-in bevatten kwaadaardige code die de nieuwe ontwikkelaars de mogelijkheid geeft om willekeurige content te plaatsen op WordPress-websites waar de plug-in is geïnstalleerd, zo waarschuwen securitybedrijven Wordfence en Plugin Vulnerabilities. Onlangs klaagden gebruikers dat de plug-in was gebruikt om spam op hun WordPress-sites te plaatsen. Sinds Display Widgets door de oorspronkelijke ontwikkelaar werd verkocht heeft WordPress de plug-in drie keer uit de database met aangeboden plug-ins verwijderd, om de uitbreiding vervolgens ook drie keer weer toe te staan.
Een aantal dagen geleden werd de plug-in voor de vierde keer verwijderd. WordPress-gebruikers die Display Widgets hebben geïnstalleerd krijgen het advies die te verwijderen. WordPress heeft inmiddels excuses gemaakt dat de ontwikkelaars met de gebackdoorde plug-in zolang hun gang konden gaan. Daarnaast heeft het plug-inteam van WordPress een schone versie van Display Widgets ontwikkeld.
https://hackertarget.com/wordpress-security-scan/
en dan deze scan opvolgen met een retirable jQuery library scan om kwetsbare bibliotheken te kunnen afserveren:
http://retire.insecurity.today/
Veel hebben "user enumeration" aanstaan en "directory listing", hebben gedateerde plug-ins of kwetsbare jQuery code enz.
Ik probeer hier al jaren op te wijzen, het schijnt echter vaak op water naar de zee dragen,
Een scan hier: http://www.domxssscanner.com/ en met een javascript unpacker op errors en wat nalezen op StackOverflow zorgt voor wat meer inzicht over eventuele kwetsbaarheden.
Scan ook eens hier: https://observatory.mozilla.org/? en op deze test site naar het gebruik van moderne(re) beveiligingsmethodiek: https://en.internet.nl/domain/ en hier: https://threatintelligenceplatform.com/
Alles hierboven geeft een indicatie van de website status via een zogeheten "Quick & Dirty"
3rd party cold reconnaissance scan.
Ieder hier veel website veiligheid toegewenst. Hou het niveau van deze site hoog, vrienden,
we varen er allemaal wel bij...
luntrus
Sorry, hoor.
Zo gewend om elders niet doorklikbare url/uri links te produceren, dat ik even vergeten was dat hier geen n00bs/ unsavvy gebruikers langskomen en knippen plakken is niet 'des androids'.
Waar ik normaliter post moeten alle links als -http(s) of hxtp of hxtps gegeven worden, anders wordt mijn bericht gelijk aangemeld bij de moderatie, want iemand kan wellicht misschien wel eens een alert te zien krijgen.
Ook destijds bij Web of Trust (WOT) op mijn huid gehad vanwege het gebruik van ongebroken links.
Een dazzlepod IP scan linkje mag je ook niet live geven, zie hun online voorwaarden.
Deze scanner was eens vrij {url} https://threatintelligenceplatform.com/ {/url} , nu moest ik een account aanmaken en heb ik slechts recht op 10 gratis scans per maand. Soms is het niet leuk meer.
vriendelijke groetjes van,
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
