image

WordPress-sites aangevallen via vijf kwetsbare extensies

woensdag 6 mei 2020, 09:54 door Redactie, 6 reacties
Laatst bijgewerkt: 06-05-2020, 14:35

WordPress-sites waren afgelopen maand het doelwit van een aanval waarbij werd geprobeerd om via oude kwetsbaarheden in verschillende extensies de websites over te nemen. Zo'n 10.000 websites liepen risico. Dat laat securitybedrijf Wordfence in een analyse weten. Het gaat om de extensies: Easy2Map, Blog Designer, WP GDPR Compliance, Total Donations en het Newspaper-theme.

Via de kwetsbaarheden kunnen aanvallers kwaadaardige JavaScript-code op de website plaatsen. Deze code probeert de cookies van de ingelogde WordPress-beheerder te stelen. Wanneer het slachtoffer niet is ingelogd wordt die naar een malafide website doorgestuurd. Is de beheerder wel ingelogd, dan worden zijn inlogcookies gestolen en voegen de aanvallers een backdoor aan de website toe.

Wordfence meldt dat 900.000 WordPress-sites doelwit van de aanval waren. Van de aangevallen websites draaiden er naar schatting maximaal 10.000 een kwetsbare extensie. De kwetsbaarheden in het Newspaper-theme, WP GDPR Compliance en Blog Designer werden in respectievelijk 2016, 2018 en 2019 al gepatcht. De extensies Total Donations en Easy2Map werden vorig jaar door WordPress vanwege de kwetsbaarheden uit de officiële repository verwijderd. Beheerders van WordPress-sites met een kwetsbare extensie krijgen het advies die te updaten of verwijderen.

Reacties (6)
06-05-2020, 10:51 door Anoniem
WordPress zelf heeft veel XSS en CSRF lekken. Je kunt updates van WordPress automatiseren.
06-05-2020, 13:01 door Anoniem
Hoe vaak hebben we hier het al gehad over de a priori onveiligheid van op PHP gebaseerd CMS, zoals Word Press.

Gaat het niet fout bij de settings,zoals user enumeration en directory listing,
dan wel bij verouderde of niet langer meer onderhouden code bij kernel, extensies en plug-ins.
jQuery library zwakheden en onveiligheid en kwetsbaarheden op de achterliggende webservers.

Gaat ook vaak fout bij amateurs, maar ook bij ontwerpers van gelikte websites met slecht onderhoud.
(het zogenaamde engelse drop code effect (iron.)).

Doe maar eens een scannetje hier: https://sitecheck.sucuri.net (gelimiteerde toegang!)
voor een "quick and dirty" overzicht van eventuele problemen.

luntrus
06-05-2020, 17:08 door Anoniem
Door Anoniem: WordPress zelf heeft veel XSS en CSRF lekken. Je kunt updates van WordPress automatiseren.

Probleem bij WordPress is dat een update er meestal voor zorgt dat je hele site niet meer werkt. Komt door al die verschillende plug-ins en thema's. Automatische updates is in de praktijk (90% van de WP websites) vaak geen optie.
06-05-2020, 22:29 door Anoniem
Door Anoniem: WordPress zelf heeft veel XSS en CSRF lekken. Je kunt updates van WordPress automatiseren.
Er is inderdaad een plugin voor automatische updates, echter wanneer een update wordt uitgegeven wacht deze plugin drie maanden voor dat er automatisch wordt geüpdatet!
07-05-2020, 13:07 door Anoniem
Klopt niet. Ik gebruik Easy Update Manager welke je kunt instellen om vaker per dag te controleren en bij te werken.
07-05-2020, 16:55 door Anoniem
Het probleem van het onderhoud zit hem niet bij de webdesigner, maar bij de extreem lage prijs verwachtingen die de eindklanten eisen.

Tijd kost ook geld en menig eindklant wil die niet betalen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.