image

WordPress dicht lekken die toegang tot websites kunnen geven

vrijdag 6 september 2019, 11:22 door Redactie, 8 reacties

Er is een nieuwe versie van WordPress verschenen die meerdere kwetsbaarheden verhelpt waardoor een aanvaller toegang tot websites had kunnen krijgen. WordPress 5.2.3 verhelpt in totaal acht beveiligingslekken, waarvan zeven keer cross-site scripting (XSS).

Bij XSS plaatst een aanvaller code op een website die vervolgens in de browser van bezoekers wordt uitgevoerd. De nu verholpen XSS-lekken zijn dan ook voornamelijk een probleem voor websites die bezoekers en gebruikers toestaan om reacties te plaatsen. Een aanvaller zou een reactie met XSS-code kunnen achterlaten. Zodra de beheerder dit bericht bekijkt wordt de XSS-code in zijn browser uitgevoerd en kan de aanvaller een nieuwe beheerder aanmaken. Een andere aanvalsvector voor de XSS-lekken is het sturen van een kwaadaardige link naar een ingelogde beheerder.

De achtste kwetsbaarheid betrof een open redirect waardoor gebruikers naar andere url's konden worden doorgestuurd. WordPress ging niet goed om met het valideren en sanitizen van een url, waardoor een open redirect mogelikj was. Zodoende had een aanvaller een link kunnen maken die begon met de vertrouwde kwetsbare website, maar vervolgens zou uitkomen op een malafide site. Dergelijke kwetsbaarheden worden vaak bij phishingaanvallen gebruikt, stelt securitybedrijf Wordfence. Updaten naar WordPress 5.2.3 kan via de automatische updatefunctie of het WordPress-dashboard.

Reacties (8)
06-09-2019, 11:47 door Anoniem
Ik kreeg al netjes van de plugin "Companion Auto Update" 3 mailtjes dat mijn 3 Wordpress websites zijn ge-update.
Echt een top plugin! Aanrader! https://nl.wordpress.org/plugins/companion-auto-update/
06-09-2019, 14:00 door Anoniem
Door Anoniem: Ik kreeg al netjes van de plugin "Companion Auto Update" 3 mailtjes dat mijn 3 Wordpress websites zijn ge-update.
Echt een top plugin! Aanrader! https://nl.wordpress.org/plugins/companion-auto-update/

Geen plugin voor nodig, Wordpress doet de update zelf....
06-09-2019, 15:24 door Anoniem
Door Anoniem: Ik kreeg al netjes van de plugin "Companion Auto Update" 3 mailtjes dat mijn 3 Wordpress websites zijn ge-update.
Echt een top plugin! Aanrader! https://nl.wordpress.org/plugins/companion-auto-update/
Dat doet Wordpress zelf wel, maar doet deze ook de plugins? Nadeel van Wordpress is dat wel de core wordt geupdate, maar niet de plugins.
06-09-2019, 20:51 door Anoniem
Wordpress is voor mensen die eerst fietsen en zwemmen hebben geleerd.

Want anders ga je op je snuitje. Of je verzuipt bijna.

Het is oppassen voor de jonge garde vooral. Die denken dat als ze tijdlijnen kunnen lezen, likes kunnen klikken en weten hoe je iemand ontvriend, dat dat het hele internet is. En dat ze niks meer te leren hebben.

Ze zouden kunnen beginnen met dagelijks bijvoorbeeld eens op security.nl te kijken. Want ook fietsers in de tour de france gaan wel eens op hun plaat en ook geoefende zwemmers halen soms het randje maar net. Maar dat is dan toch een ander verhaal.

Het begint met willen leren fietsen. En willen leren zwemmen. Dan kun je met wordpress prima uit de voeten.

Mits je je literatuur bijhoudt.
07-09-2019, 10:25 door Anoniem
Houdt dus rekening met je eigen beperkingen en die van de CMS en
het onderliggende PHP. Laat alles niet te luid schreeuwen via excessieve info proliferacj?, user enumerstion enabled, directory listing enabled, af te voeren code in kernel, thema's en plugins, JavaScript errors, sinks &sources, best header en andere best policies. Listen, fuzzen etc.
luntrus
09-09-2019, 14:19 door Anoniem
Binnenkort zal iedereen deze rotzooi toch gaan dumpen. Gratis oplossingen brengen altijd hoofdpijn met zich mee.
09-09-2019, 22:20 door Anoniem
De vraag is, hoe vaak en hoe lang laat je je foppen.
En natuurlijk al die snelle bouwers met PHP gebaseerd CMS,
waarna degelijk onderhoud meestal uitblijft.

Tel uit je winst, gelikte sites
maar rammelend qua security.

luntrus
09-09-2019, 22:37 door Anoniem
Een blijvend probleem bij WordPress was tevens het zogenaamd 'double preparing' tegen mogelijke SLQ injectie bedreigingen.
Er zijn nog wel wat meer pitfalls bij het coderen. Het blijft dus uitkijken.
#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.