WordPress forceert beveiligingsupdate op 5 miljoen WooCommerce-sites
Vanwege een kritieke kwetsbaarheid in WooCommerce heeft WordPress besloten om op meer dan 5 miljoen webwinkels een beveiligingsupdate te installeren. Volgens de ontdekker van het beveiligingslek wordt er actief misbruik van gemaakt. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan 5 miljoen WordPress-sites geïnstalleerd.
Een kritieke kwetsbaarheid in WooCommerce maakt het mogelijk voor ongeauthenticeerde aanvallers om toegang tot de database van de webwinkel te krijgen. Ook de plug-in WooCommerce Blocks, die op 200.000 websites is geïnstalleerd, bleek kwetsbaar te zijn. De ontwikkelaars van WooCommerce hebben voor beide plug-ins beveiligingsupdates ontwikkeld. Die worden nu door WordPress.org automatisch geïnstalleerd bij alle websites die van de plug-ins gebruikmaken.
Volgens de onderzoeker die de kwetsbaarheid ontdekte wordt er actief misbruik van gemaakt. Verdere details zijn op dit moment nog onbekend. WooCommerce laat in een blogposting weten dat het onderzoek naar het beveiligingslek en of er data van webwinkels is gestolen nog gaande is. Zodra er meer informatie bekend is zal dit worden gedeeld. Securitybedrijf Wordfence meldt dat het vanaf verschillende ip-adressen aanvallen heeft gezien.
Op een dag weet iemand de push request van wordpress.org over te nemen en dan spreken we over een van de grootste cms exploits ooit.
En ik kan niet wachten tot die dag aanbreekt wordt prachtig leedvermaak. Ondertussen blijven wij lekker in de releases de code verwijderen die wordpress.org deze macht geeft. Er komt geen update op onze infrastructuur zonder dat we deze eerst zelf auditten. Hoe gevaarlijk enig lek ook zou zijn er zijn gewoon procedures die gevolgd moeten worden en het loggen ervan.
Inferieure PHP-stack rommel leidt tot dit soort paniekacties als er weer eens iets misgaat. Normaliter is het 'update NU of je bent de klos' maar dat ging blijkbaar niet snel genoeg, zodat men nu als nieuw middel het gedwongen updaten inzet.
- Dat er kan gekeken worden wie-wat heeft gekocht.
- Er kan gekeken worden naar omzet, of er dus een paar extra man op de site gezet moet worden.
- Er kan gekeken worden naar de contactadressen
- Er kan gekeken worden naar de actieve plugins
- Er kan gekeken worden naar kortingen
Goed dat WordPress dit geforceerd heeft, zo worden de meeste mensen beschermd die geen enkel idee hebben wat er allemaal mogelijk is.
Ik heb de updates enkele dagen geleden direct doorgevoerd, na gekeken te hebben of dat goed gaat :)
Zoals de eerste reactie al aangeeft, het kan namelijk verkeerd gaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
