image

WordPress forceert Jetpack-beveiligingsupdate op vijf miljoen websites

woensdag 31 mei 2023, 09:17 door Redactie, 4 reacties

WordPress.org heeft besloten om een beveiligingsupdate voor de Jetpack-plug-in wegens een kritieke kwetsbaarheid op vijf miljoen websites te installeren. Jetpack is een door Automattic ontwikkelde plug-in voor het maken en terugzetten van back-ups, blokkeren van spam, scannen op malware, monitoren van up- en downtime, beschermen tegen bruteforce-aanvallen en het inschakelen van tweefactorauthenticatie.

Via de kwetsbaarheid, die al sinds 2012 in de code van de plug-in aanwezig is, kan een aanvaller elk bestand van een WordPress-installatie aanpassen. Automattic is ook het bedrijf achter WordPress.com, waar tegen betaling WordPress-sites zijn te hosten. WordPress.org is de organisatie achter de opensourceversie van WordPress, het gelijknamige contentplatform dat volgens W3Techs voor 43,1 procent van alle websites op internet wordt gebruikt.

Automattic heeft in overleg met het WordPress.org Security Team besloten om de update voor de kwetsbaarheid in Jetpack automatisch uit te rollen. De plug-in is op meer dan vijf miljoen websites geinstalleerd. Inmiddels hebben meer dan 4,3 miljoen websites de update ook ontvangen, zo blijkt uit cijfers van WordPress.org. Automattic zegt dat het niet bekend is met misbruik van het beveiligingslek, maar stelt dat nu de patch is verschenen aanvallen kunnen gaan plaatsvinden.

WordPress.org heeft sinds WordPress versie 3.7 de mogelijkheid om beveiligingsupdates voor plug-ins geforceerd te installeren. In 2021 werd op deze manier ook al een update voor Jetpack uitgerold. Eerder stelde een ontwikkelaar van het WordPress Team dat het geforceerd installeren van updates al meerdere keren wegens kwetsbaarheden was toegepast. Iets wat in het verleden voor kritiek van gebruikers zorgde, die het automatisch updaten van hun plug-ins niet hadden ingeschakeld.

Reacties (4)
31-05-2023, 10:32 door Anoniem
Waarom is dit niet gedaan voor de onlangs ontdekte elementor plugin?
Deze heeft ruim 1 miljoen installaties en was zeer makkelijk uit te buiten.
31-05-2023, 15:50 door Anoniem
Malware scannen houdt toch eens op. Dat is helemaal geen functionaliteit die bij een CMS hoort.
31-05-2023, 17:39 door Anoniem
Door Anoniem: Waarom is dit niet gedaan voor de onlangs ontdekte elementor plugin?
Deze heeft ruim 1 miljoen installaties en was zeer makkelijk uit te buiten.
Omdat jetpack van automatic is wat de eigenaar is van wordpress.com. betaalde hosting en omdat wordpress.org goede relaties heeft met hun voor patching is er besloten tot deze actie

Elementor is van Elementor Ltd. een Israelisch bedrijf en heeft niks met wordpress.com te maken qua beheer nog wordpress.org als contributor. Ze zijn klein vergeleken bij de userbase van jetpack en In tegenstelling tot wordpress.org en wordpress.com is er geen colab voor security incidenten.

Daarnaast moeten beheerders van online content toch echt zelf de verantwoordelijkheid nemen om te zorgen dat ze bij blijven.
Beide plugins hebben een autoupdate functie dus als men 1 vinkje aanzet als ze toch niet naar willen omkijken zijn ze er al.
31-05-2023, 23:31 door Anoniem
@ anoniem van 17:39

En zo blijft alles 'gatenkaas', zou Cruyff hebben gezegd.

Veel van deze Israëlische bedrijfjes hebben een CEO, die bij de Aman hebben gediend.

Er zijn ook goede kanten.
Ik ben persoonlijk nog altijd zeer blij met bijvoorbeeld de tooltjes van ene Nir Sofer.
Re: https://www.nirsoft.net/about_nirsoft_freeware.html

De nauwkeurigheid van de code doet zijn achternaam eer aan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.