WordPress-sites doelwit van nieuwe aanvallen op plug-ins
Duizenden WordPress-sites lopen risico om te worden overgenomen nu aanvallers zich op meer kwetsbare plug-ins richten. De afgelopen maanden zijn er verschillende kwetsbaarheden in populaire WordPressplug-ins onthuld die aanvallers kwaadaardige code aan de website laten toevoegen.
Zo kunnen er backdoors worden toegevoegd en scripts die bezoekers bijvoorbeeld naar malafide websites doorsturen. Een bekend voorbeeld zijn websites die internetgebruikers via helpdeskfraude proberen op te lichten. Eén specifieke campagne die kwetsbaarheden in meerdere WordPressplug-ins gebruikt om websites over te nemen is al enige maanden gaande. De aanvallers achter deze campagne hebben nu exploits voor twee nieuwe plug-ins toegevoegd.
Het gaat om Woocommerce User Email Verification. Deze plug-in wordt door webwinkels gebruikt voor het valideren van het e-mailadres waarmee klanten zich registreren. Een kwetsbaarheid in de plug-in laat aanvallers allerlei kwaadaardige scripts injecteren. Een beveiligingsupdate om de kwetsbaarheid te verhelpen is nog niet beschikbaar. Meer dan 6.000 websites hebben Woocommerce User Email Verification geïnstalleerd.
WP Inventory Manager is de andere plug-in waar aanvallers het op hebben voorzien. Via deze plug-in kunnen webwinkels de voorraad van producten en materiaal bijhouden. Op 16 april werd een kwetsbaarheid in de plug-in verholpen, die inmiddels ook wordt aangevallen. In dit geval is er wel een beveiligingsupdate beschikbaar, maar de praktijk laat zien dat veel webmasters hun WordPressplug-ins niet updaten. Van WP Inventory Manager is een gratis en betaalde versie die identiek zijn. De gratis versie heeft meer dan duizend installaties. Het aantal installaties van de betaalde variant is onbekend.
Inmiddels komt WP zo vaak in het nieuws dat je je mag afvragen waarom men nog plugins gebruikt?
Bijna net zo lek als adobe flash.
https://www.security.nl/search?origin=frontpage&keywords=wordpress
https://www.security.nl/search?origin=frontpage&keywords=wordpress
de 423e
"ik liet m'n fiets 5 minuten (niet op slot) buiten staan en toen was ie weg."
Inmiddels komt WP zo vaak in het nieuws dat je je mag afvragen waarom men nog plugins gebruikt?
Bijna net zo lek als adobe flash.
Waarom nog plugins ? niet alle toepassingen hoeven standaard in het pakket aanwezig te zijn, ik hoef bv geen Woocomerce.
Ik zou willen dat Windwows 10 vrij kaal opgeleverd werd en dan via plugins verder uit kon bouwen naar wat ik nodig heb of wil.
eens een dorkje als
"websites/GET+%2Fwp-admin%2Fadmin-post.php%3Fswp_debug%3Dload_options%26swp_url%3D"
en je krijgt al een overzicht van heel wat kwetsbare websites onder ogen,
vooral die met niet geupdate softare en mixed content zijn daar veelbelovend voor aanvallers.
luntrus
Nog wat debug achtergrond informatie aangaande e.e.a. is hier te vinden (bron Johannes Pille e.a.):
https://wordpress.stackexchange.com/questions/69549/define-wp-debug-conditionally-for-admins-only-log-errors-append-query-arg-f/69552
luntrus
Nog wat debug achtergrond informatie aangaande e.e.a. is hier te vinden (bron Johannes Pille e.a.):
https://wordpress.stackexchange.com/questions/69549/define-wp-debug-conditionally-for-admins-only-log-errors-append-query-arg-f/69552
luntrus
luntrus
https://www.security.nl/search?origin=frontpage&keywords=wordpress
de 423e
Die van mij blijft geldig. Tijdloos.
Dank voor dit even als listing bijeen te mogen zien, dat treurige faal-overzicht.
Hoe zout wil je het eigenlijk gegeten hebben, mensen?
Als je het echt in zo'n schril perspectief bij elkaar ziet staan als via Kapitein Haddock's overzichtje,
dan is de onveiligheid van dit CMS en voornamelijk via de plug-ins veelal hemeltergend.
Daarnaast geef ik ook niet graag allen met Word Press CMS te eten,
die "user enumeration" en "directory listing" nog op "enabled" hebben staan.
Iedere gebruiker van dit CMS, zou tenminste eens even hier moeten scannen:
Word Press Security scan, voor a quick and dirty:
https://hackertarget.com/wordpress-security-scan/
Daarna vervolgens even nalopen met https://webhint.io/scanner/
om een flink aantal website verbetertips te zien verschijnen.
Ja ik kom wel eens tot over de 350 recommendaties per gescande website.
Net als met dat bekende dropmerk,
"Zo onveilig in dit geval, het zou verboden moeten worden".
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
