WordPress forceert Jetpack-beveiligingsupdate op vijf miljoen websites
WordPress.org heeft besloten om een beveiligingsupdate voor de Jetpack-plug-in wegens een kritieke kwetsbaarheid op vijf miljoen websites te installeren. Jetpack is een door Automattic ontwikkelde plug-in voor het maken en terugzetten van back-ups, blokkeren van spam, scannen op malware, monitoren van up- en downtime, beschermen tegen bruteforce-aanvallen en het inschakelen van tweefactorauthenticatie.
Via de kwetsbaarheid, die al sinds 2012 in de code van de plug-in aanwezig is, kan een aanvaller elk bestand van een WordPress-installatie aanpassen. Automattic is ook het bedrijf achter WordPress.com, waar tegen betaling WordPress-sites zijn te hosten. WordPress.org is de organisatie achter de opensourceversie van WordPress, het gelijknamige contentplatform dat volgens W3Techs voor 43,1 procent van alle websites op internet wordt gebruikt.
Automattic heeft in overleg met het WordPress.org Security Team besloten om de update voor de kwetsbaarheid in Jetpack automatisch uit te rollen. De plug-in is op meer dan vijf miljoen websites geinstalleerd. Inmiddels hebben meer dan 4,3 miljoen websites de update ook ontvangen, zo blijkt uit cijfers van WordPress.org. Automattic zegt dat het niet bekend is met misbruik van het beveiligingslek, maar stelt dat nu de patch is verschenen aanvallen kunnen gaan plaatsvinden.
WordPress.org heeft sinds WordPress versie 3.7 de mogelijkheid om beveiligingsupdates voor plug-ins geforceerd te installeren. In 2021 werd op deze manier ook al een update voor Jetpack uitgerold. Eerder stelde een ontwikkelaar van het WordPress Team dat het geforceerd installeren van updates al meerdere keren wegens kwetsbaarheden was toegepast. Iets wat in het verleden voor kritiek van gebruikers zorgde, die het automatisch updaten van hun plug-ins niet hadden ingeschakeld.
Deze heeft ruim 1 miljoen installaties en was zeer makkelijk uit te buiten.
Deze heeft ruim 1 miljoen installaties en was zeer makkelijk uit te buiten.
Elementor is van Elementor Ltd. een Israelisch bedrijf en heeft niks met wordpress.com te maken qua beheer nog wordpress.org als contributor. Ze zijn klein vergeleken bij de userbase van jetpack en In tegenstelling tot wordpress.org en wordpress.com is er geen colab voor security incidenten.
Daarnaast moeten beheerders van online content toch echt zelf de verantwoordelijkheid nemen om te zorgen dat ze bij blijven.
Beide plugins hebben een autoupdate functie dus als men 1 vinkje aanzet als ze toch niet naar willen omkijken zijn ze er al.
En zo blijft alles 'gatenkaas', zou Cruyff hebben gezegd.
Veel van deze Israëlische bedrijfjes hebben een CEO, die bij de Aman hebben gediend.
Er zijn ook goede kanten.
Ik ben persoonlijk nog altijd zeer blij met bijvoorbeeld de tooltjes van ene Nir Sofer.
Re: https://www.nirsoft.net/about_nirsoft_freeware.html
De nauwkeurigheid van de code doet zijn achternaam eer aan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
