image

Securitybedrijf meldt grootschalige aanvallen op kwetsbare WordPress-plug-ins

dinsdag 13 december 2022, 11:22 door Redactie, 6 reacties

De afgelopen wekeen hebben hebben er grootschalige aanvallen op twee kwetsbare WordPress-plug-ins plaatsgevonden, zo stelt securitybedrijf Wordfence op basis van eigen cijfers. Het gaat om advertentieplug-in Adning en de Kaswara Modern WPBakery Page Builder add-on, een uitbreiding die het eenvoudiger moet maken om WordPress-sites te ontwerpen.

In juni 2020 werd er een kwetsbaarheid in Adning gevonden waardoor een ongeauthenticeerde aanvaller willekeurige bestanden naar de WordPress-site kan uploaden, om zo malafide code uit te voeren en volledige controle over de website te krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Ook het beveiligingslek in Kaswara, waarvoor vorig jaar april werd gewaarschuwd, laat een aanvaller malafide php-bestanden uploaden en zo websites overnemen. Voor deze kwetsbaarheid, ook met een impactscore van 10.0, is nooit een update verschenen.

Volgens Wordfence hebben aanvallers de afgelopen weken het lek in de Kaswara-plug-in op zo'n twee miljoen websites geprobeerd, terwijl dat er normaal 256.000 zijn. Verder werd geprobeerd om een miljoen websites via de Adning-kwetsbaarheid aan te vallen, terwijl dat er gemiddeld 375.000 zijn. Het aantal WordPress-sites dat van beide plug-ins gebruikmaakt is echter veel lager. Naar schatting draait de Kaswara-plug-in nog op achtduizend websites, terwijl Adning op nog zo'n zevenhonderd websites actief is. WordPress-beheerders wordt dan ook aangeraden om hun plug-ins up-to-date te houden en te verwijderen wanneer die niet meer worden ondersteund.

Reacties (6)
13-12-2022, 20:42 door Anoniem
Stop. Met. Wordpress.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.
14-12-2022, 01:09 door Anoniem
Door Anoniem: Stop. Met. Wordpress.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.

Wat kost dat dan? Ook gratis?
14-12-2022, 09:38 door Anoniem
Door Anoniem: Stop. Met. Wordpress.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.

Los van of ik het met je eens ben of niet, maar dit soort commentaren zijn van dezelfde categorie dat "je geen Windows moet gebruiken omdat je dan virussen krijgt". Voorzie het dan tenminste van concrete alternatieven die gratis, meer secure (om wat voor redenen dan ook), en "echt niet moeilijk" zijn.
15-12-2022, 10:37 door Anoniem
Door Anoniem: Stop. Met. Wordpress.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.

Los van dat zijn er nu veel betere opensource oplossingen ipv Wordpress.
15-12-2022, 14:41 door Anoniem
Door Anoniem:
Door Anoniem: Stop. Met. Wordpress.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.

Los van dat zijn er nu veel betere opensource oplossingen ipv Wordpress.
Noem ze dan! Nu is het een normale loze opmerking.
07-01-2023, 14:46 door WebsiteNazorg
Door Anoniem: Stop. Met. Wordpress.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.

Een groot veeldeel is dat er enorm veel documentatie is over hoe je WordPress kunt beveiligen en dat het ook heel gemakkelijk is om uit te vinden hoe hackers binnenkomen. Dat soort informatie is op kleinere platformen veel lastiger te vinden. Bovendien zijn kleinere CMS systemen voor grotere nieuwssites als deze vaak weer niet interessant om over te praten wanneer daar veiligheidsproblemen zijn. Het werken met de marktleider heeft dus voor- en nadelen. Met een goed cyber security beleid is er weinig aan de hand met een WordPress website.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.