Securitybedrijf meldt grootschalige aanvallen op kwetsbare WordPress-plug-ins
De afgelopen wekeen hebben hebben er grootschalige aanvallen op twee kwetsbare WordPress-plug-ins plaatsgevonden, zo stelt securitybedrijf Wordfence op basis van eigen cijfers. Het gaat om advertentieplug-in Adning en de Kaswara Modern WPBakery Page Builder add-on, een uitbreiding die het eenvoudiger moet maken om WordPress-sites te ontwerpen.
In juni 2020 werd er een kwetsbaarheid in Adning gevonden waardoor een ongeauthenticeerde aanvaller willekeurige bestanden naar de WordPress-site kan uploaden, om zo malafide code uit te voeren en volledige controle over de website te krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Ook het beveiligingslek in Kaswara, waarvoor vorig jaar april werd gewaarschuwd, laat een aanvaller malafide php-bestanden uploaden en zo websites overnemen. Voor deze kwetsbaarheid, ook met een impactscore van 10.0, is nooit een update verschenen.
Volgens Wordfence hebben aanvallers de afgelopen weken het lek in de Kaswara-plug-in op zo'n twee miljoen websites geprobeerd, terwijl dat er normaal 256.000 zijn. Verder werd geprobeerd om een miljoen websites via de Adning-kwetsbaarheid aan te vallen, terwijl dat er gemiddeld 375.000 zijn. Het aantal WordPress-sites dat van beide plug-ins gebruikmaakt is echter veel lager. Naar schatting draait de Kaswara-plug-in nog op achtduizend websites, terwijl Adning op nog zo'n zevenhonderd websites actief is. WordPress-beheerders wordt dan ook aangeraden om hun plug-ins up-to-date te houden en te verwijderen wanneer die niet meer worden ondersteund.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.
Wat kost dat dan? Ook gratis?
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.
Los van of ik het met je eens ben of niet, maar dit soort commentaren zijn van dezelfde categorie dat "je geen Windows moet gebruiken omdat je dan virussen krijgt". Voorzie het dan tenminste van concrete alternatieven die gratis, meer secure (om wat voor redenen dan ook), en "echt niet moeilijk" zijn.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.
Los van dat zijn er nu veel betere opensource oplossingen ipv Wordpress.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.
Los van dat zijn er nu veel betere opensource oplossingen ipv Wordpress.
Hoeveel berichten over de onveiligheid van Worspress wil je nog hebben? En kom me niet met je excuus over de Wordpress-plugins aanzetten. Er zijn onveilige plugins omdat Wordpress het mogelijk maakt. Een veilige website is prima mogelijk en echt niet moeilijk. Ik draai veilige websites die al jaren op ongewijzigde / ongepatchte code draaien. Het kan. Veilige websites, het is een keuze.
Een groot veeldeel is dat er enorm veel documentatie is over hoe je WordPress kunt beveiligen en dat het ook heel gemakkelijk is om uit te vinden hoe hackers binnenkomen. Dat soort informatie is op kleinere platformen veel lastiger te vinden. Bovendien zijn kleinere CMS systemen voor grotere nieuwssites als deze vaak weer niet interessant om over te praten wanneer daar veiligheidsproblemen zijn. Het werken met de marktleider heeft dus voor- en nadelen. Met een goed cyber security beleid is er weinig aan de hand met een WordPress website.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
