image

WordPress-sites aangevallen via lekken in populaire plug-ins

zondag 26 november 2017, 11:25 door Redactie, 10 reacties

WordPress-sites zijn het doelwit van aanvallers die kwetsbaarheden in twee populaire plug-ins combineren om websites over te nemen. Het gaat om de plug-ins Shortcodes Ultimate en Formidable Forms, die respectievelijk op 700.000 en 200.000 websites zijn geïnstalleerd.

De twee kwetsbaarheden, die inmiddels ook zijn gepatcht door de ontwikkelaars, zijn beoordeeld als een "medium" risico. Gecombineerd laten ze een aanvaller echter kwaadaardige code op de onderliggende server uitvoeren, waardoor de WordPress-site kan worden overgenomen. Volgens securitybedrijf Sucuri zijn aanvallers sinds het bekend worden van de kwetsbaarheden actief op zoek naar WordPress-sites die de kwetsbare plug-ins draaien. Het bedrijf heeft naar eigen zeggen duizenden scans waargenomen. Beheerders krijgen het advies om te updaten naar Formidable Forms versie 2.05.02 of 2.05.03 en Shortcodes Ultimate versie 5.0.1.

Image

Reacties (10)
26-11-2017, 14:29 door Anoniem
Check de globale veiligheid van een Word Press website domein here:
https://hackertarget.com/wordpress-security-scan/
Check ook op af te voeren jQuery code bibliotheken: retire.insecurity.today/#
en check vervolgens hier: https://aw-snap.info/file-viewer/
26-11-2017, 22:43 door Anoniem
Als je alleen de koppen leest denk je dat Wordpress lek is maar het is best een redelijk pakket. Dat er tig plugins zijn van allerlei knutselaars daar zou de nadruk op gelegd moeten worden. Voor mijn (security/tech) blog ben ik overigens gewoon zelf maar aan de slag gegaan. Als je een blog simpel houd is zo'n bulky CMS een beetje overdaad, ook zonder plugins.
27-11-2017, 09:45 door linuxpro
Door Anoniem: Check de globale veiligheid van een Word Press website domein here:
https://hackertarget.com/wordpress-security-scan/
Check ook op af te voeren jQuery code bibliotheken: retire.insecurity.today/#
en check vervolgens hier: https://aw-snap.info/file-viewer/

Leuke controlesite als ze versie 4.9 niet herkennen als meest recent en blijven steken bij 4.8.3 ofzo
27-11-2017, 12:15 door Anoniem
Alleen al het updaten van een WP website is een drama.
Al je custom edits gaan naar de klote en dat is wanneer je ftp !!! Werkend krijgt. Niet scp of een ander echt veiligbprotocol maar ftp. Met een beetje mazelen nog via ssl. Maar het werkt bijna nooit.
27-11-2017, 14:33 door Anoniem
@linuxpro,

Goed opgemerkt, ik had het ook al gezien. Ze lopen weer ietsje achter met onderhuid van de scanner.

Inderdaad een beetje slordig bijgehouden bij hackertarget,
neemt niet weg dat het scannen op onveilige plug-ins en verkeerd instellen van 'user enumeration'
en 'directory listing', wat velen nog al eens verkeerd hebben staan, wel zinvol is.

Ook kijk ik altijd even of de same origin regel gehandhaafd is.
en wat er aan security maatregelen, bijvoorbeeld headers voor maatregelen is getroffen.
Weak cyphers e.d. , naamserver versie info proliferatie etc. etc.

Scan met mxtoolbox, https://observatory.mozilla.org/ geeft ook waardevolle beveiligingsinfo en aanbevelingen.
Ook hier is nogal wat te vinden: https://privacyscore.org/

Niet iedereen heeft de beschikking over Bro-ids, snyk free of esflow en blokada.

Meeste Windhoos gebruikers zeggen deze termen weinig en zitten niet op Github, StackOverflow,
of draaien eigen userscripts met Tampermonkey.

Ik ben opgeleid voor Windows NT4 en de kernel destijds, maar sta open voor
bijvoorbeeld libre free software oplossingen.
27-11-2017, 18:08 door Anoniem
Door Anoniem: Alleen al het updaten van een WP website is een drama.
Al je custom edits gaan naar de klote en dat is wanneer je ftp !!! Werkend krijgt. Niet scp of een ander echt veiligbprotocol maar ftp. Met een beetje mazelen nog via ssl. Maar het werkt bijna nooit.

Dat ligt vermoedelijk aan je eigen workflow. Het updaten van WordPress is geen enkel probleem als je je bestandsrechten goed hebt ingesteld en gebeurt out of the box al automatisch. Custom edits gaan niet verloren als je ze goed maakt, bijvoorbeeld door je thema's naar child-thema's te zetten en je plug-ins te extenden of met hooks te werken. En als je echt niet anders kan dan de core code te wijzigen, dan kan je gemakkelijk via SCP verbinding maken met je server en de up-to-date versie handmatig uploaden zonder je eigen aangepaste code te overschrijven.

Ja, als je wijzigingen wilt maken zonder dat je updates in het nauw komen, kost het wat extra denkwerk. Als je dat er niet aan wilt besteden en klakkeloos bestaande code gaat wijzigen, heb je inderdaad een probleem met je updates. Als je dat wel doet, is WordPress (zelfs met plug-ins) een fijn platform om mee te werken.
28-11-2017, 08:11 door Anoniem
Populaire plugins?

Ik heb er nog nooit van gehoord, en staan bij mij ook nooit bovenaan in een lijstje populaire plugins, en ik zoek regelmatig naar plugins.
28-11-2017, 08:16 door Anoniem
Door Anoniem: Alleen al het updaten van een WP website is een drama.
Al je custom edits gaan naar de klote en dat is wanneer je ftp !!! Werkend krijgt. Niet scp of een ander echt veiligbprotocol maar ftp. Met een beetje mazelen nog via ssl. Maar het werkt bijna nooit.

Hier geen probleem met het updaten van mijn eigen custom made websites en plugins van derden.

Ik test ze wel altijd op een clone, maar daarna kan ik de updates, tot nu toe, zonder probleem op mijn eigen templates toepassen.
29-11-2017, 08:50 door Anoniem
Door Anoniem: Populaire plugins?

Ik heb er nog nooit van gehoord, en staan bij mij ook nooit bovenaan in een lijstje populaire plugins, en ik zoek regelmatig naar plugins.

Inderdaad, ik heb deze plugins ook nooit ergens in de top 10/20 gezien. Ik dacht heel even dat ik Contact Forms 7 las, gelukkig was dat niet het geval.
30-11-2017, 07:48 door Anoniem
Whitebox scanner voor Wordpress (accurater) vind je hier http://wp-sec.org
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.