Twee miljoen WordPress-sites getroffen door ernstig lek in plug-in
Een ernstig beveiligingslek in een populaire plug-in raakt zo'n twee miljoen WordPress-sites, hoewel het werkelijke aantal nog hoger kan liggen. All in One SEO for WordPress moet ervoor zorgen dat websites een betere ranking in zoekmachines krijgen. De plug-in is op meer dan drie miljoen websites geïnstalleerd.
De plug-in bevat twee kwetsbaarheden waardoor een aanvaller in het ergste geval code op de server kan uitvoeren en de website kan overnemen, zo meldt WordPressbeveiliger Jetpack. Het gevaarlijkste beveiligingslek, CVE-2021-25036, heeft op een schaal van 1 tot en met 10 een impactscore van 9,9. Via de kwetsbaarheid kunnen gebruikers met low-privileged accounts, zoals abonnees, hun rechten verhogen en kwaadaardige code op de server uitvoeren.
Het andere beveiligingslek, waarvan de impact met een 7,7 is beoordeeld, betreft geauthenticeerde SQL-injection. Gebruikers met een low-privileged account kunnen toegang tot vertrouwelijke data uit de database krijgen, zoals gebruikersnamen en gehashte wachtwoorden. De kwetsbaarheden zijn aanwezig in versie 4 van de plug-in en verholpen met versie 4.1.5.3 die vorige week uitkwam.
Volgens statistieken heeft All in One SEO for WordPress meer dan drie miljoen actieve installaties. Zo'n zestig procent draait versie 4 van de plug-in. Van 29 procent wordt het versienummer niet vermeld.
Het probleem zijn voornamelijk de plugins en de klungelinge "bouwers", blijf van het internet af gradje71.
WordPress zelf zit best goed in elkaar, zeker met alle automatische updates. Het zijn meer die plugins die gemaakt worden door absolute noobs.
Wordpress en Flash akkoord maar Java? Misschien verwar je het met JavaScript maar dan snap ik het nog niet. Java zelf is een zeer veilige en robuuste programmeertaal die massaal gebruikt wordt. In telefoons is Android ermee gemaakt. Op servers heb je het Java EE platform. Pure professionaliteit en kwaliteit in vergelijking met de concurrentie.
Wordpress en Flash akkoord maar Java? Misschien verwar je het met JavaScript maar dan snap ik het nog niet. Java zelf is een zeer veilige en robuuste programmeertaal die massaal gebruikt wordt. In telefoons is Android ermee gemaakt. Op servers heb je het Java EE platform. Pure professionaliteit en kwaliteit in vergelijking met de concurrentie.
Ik geloof dat jij de Java taal verward met de Runtime/SDK. De Oracle Java runtime is heeft enorm vaak grote lekken. Ik denk dat de poster waar je op reageert denk dat Log4j een Java onderdeel is, wat natuurlijk niet zo is.
luntrus
Hoe leer je goed en veilig coderen ? Ik denk dat meer een vraag is.
Helaas gebeurd het vandaag de dag nog steeds dat zelfs grotere bekende plugins een lek bevat.
Naar mijn idee is open-source een hele goede oplossing, maar voor enterprise gebruik absoluut niet ideaal.
Iedereen heeft toegang tot de codes en kan hier op in spelen.
Daarnaast is het uiteraard van belang, mocht je Wordpress gebruiken, dagelijks te checken naar updates en je servers voldoende te beschermen tegen aanvallen.
Wordpress en Flash akkoord maar Java? Misschien verwar je het met JavaScript maar dan snap ik het nog niet. Java zelf is een zeer veilige en robuuste programmeertaal die massaal gebruikt wordt. In telefoons is Android ermee gemaakt. Op servers heb je het Java EE platform. Pure professionaliteit en kwaliteit in vergelijking met de concurrentie.
Dat Java een veilige en robuuste programmeertaal is geloof ik direct maar dat Android daarop gemaakt is klopt eenvoudigweg niet. Android is gebouwd o.b.v. een Linux kernel.
Quote: "Android is a mobile operating system based on a modified version of the Linux kernel and other open source software, designed primarily for touchscreen mobile devices such as smartphones and tablets."
bron: https://en.wikipedia.org/wiki/Android_(operating_system)
Wordpress en Flash akkoord maar Java? Misschien verwar je het met JavaScript maar dan snap ik het nog niet. Java zelf is een zeer veilige en robuuste programmeertaal die massaal gebruikt wordt. In telefoons is Android ermee gemaakt. Op servers heb je het Java EE platform. Pure professionaliteit en kwaliteit in vergelijking met de concurrentie.
Dat Java een veilige en robuuste programmeertaal is geloof ik direct maar dat Android daarop gemaakt is klopt eenvoudigweg niet. Android is gebouwd o.b.v. een Linux kernel.
Toch wel hoor. Dat Android met Java is gemaakt sluit nog niet uit dat daaronder een Linux kernel ligt. Zie hier een mooi plaatje:
https://developer.android.com/guide/platform/
Toegegeven: beter had ik geschreven "is deels met Java gemaakt".
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
