Malware besmet duizend WordPress-sites via oud themes-lek
Meer dan duizend WordPress-sites zijn met malware besmet geraakt omdat ze een beveiligingsupdate voor een oude kwetsbaarheid in twee themes niet geïnstalleerd hebben. Het gaat om de themes Newspaper en Newsmag. Het lek waar de aanvallers gebruik van maken werd in april 2016 gepatcht.
Toch zijn er nog altijd websites die de update niet hebben uitgerold. Via de kwetsbaarheid kan een aanvaller kwaadaardige JavaScript in de website injecteren. Oorspronkelijk werd de geïnjecteerde JavaScript-code gebruikt voor het weergeven van pop-ups op gehackte website of het doorsturen van bezoekers naar andere websites. Een nieuwe variant van de aanval stuurt aanvallers nog steeds door naar andere websites, maar maakt ook een nieuwe WordPress-beheerder aan genaamd "simple001".
Daarmee hebben de aanvallers volledige controle over de website. Zelfs wanneer een WordPress-gebruiker de infectie verwijdert en de kwetsbaarheid patcht, blijft de aanvaller via het aangemaakte beheerdersaccount toegang houden. Volgens securitybedrijf Sucuri zijn meer dan duizend WordPress-sites door de nieuwe variant van de aanval getroffen.
Thema gaten zijn kwalijker als plug-in gaten, die zouden beter moeten worden gescreened door de core-mensen.
Men blijft natuurlijk nog steeds verkeerd configureren met user enumeration op aan en directory listing,
met af te voeren jQuery bibliotheken en third party code, die onvoldoende gemonitord wordt op same origin regel.
CMS mensen maken hiermee fouten, er worden fouten gemaakt door hosters.
Net als met dat merk drop, het zou verboden moeten worden.
Als je kijkt naar het aantal gebruikers, plug-ins en thema´s valt het allemaal wel mee vind ik.
Ja de kern-software is heus wel goed onderhouden. Hosters hebben er helaas minder omkijken naar als hetgeen Google in de Store. Dat is vaak niet aan te roeien veel ook. Dat is op zo'n schaal niet goed te vergelijken.
Er is echter altijd ook nog heel veel ruimte voor veel "heads-ups" bij het leren gebruiken van 'best policies'.
Het zou al een hele verbetering zijn bij voorbeeld als men alleen al certificaten niet langer als root op de server installeerde. En zo is er nog een hele waslijst van maatregelen te nemen bij configuratie, die de boel veiliger maakt.
Af te voeren jQuery libraries? Nou dat is nou net iets dat niet mee valt. Daar gebruikt men vaak meerdere versies door elkander. Wat men heeft verworven aan bibliotheken, moet men ook als de tijd komt willen afvoeren.
Scan hier maar eens voor een willekeurige Word Press website of blogsite: retire.insecurity.today/#
m.vr.gr.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
