Honderden kwetsbaarheden in WordPress-plug-ins nog altijd zonder update
Dit jaar zijn er al 2500 kwetsbaarheden in plug-ins voor WordPress gerapporteerd, maar voor honderden van deze beveiligingslekken zijn nog geen updates beschikbaar gemaakt. Dat meldt securitybedrijf Wordfence. Volgens cijfers van W3Techs draait 43,2 procent van alle websites op WordPress. Voor het platform is een groot aantal plug-ins en themes beschikbaar die door externe ontwikkelaars worden ontwikkeld.
Veel van de kwetsbaarheden waar WordPress-sites mee te maken hebben bevinden zich in deze plug-ins. Zo werden dit jaar pas zes kwetsbaarheden in WordPress zelf gerapporteerd, tegenover 2500 in de verschillende plug-ins voor het platform. In de meeste gevallen gaat het om cross-site scripting waarmee een aanvaller in het ergste geval cookies van de beheerder kan stelen om zo de website over te nemen.
Verder blijkt uit de cijfers van Wordfence dat de meeste kwetsbaarheden, zo'n tweeduizend, een medium impact hebben. Wat niet meevalt is het aantal beveiligingslekken dat nog op een update wacht. Van de 2500 gerapporteerde kwetsbaarheden in plug-ins zijn er 678 niet door de ontwikkelaar verholpen. Dat komt neer op meer dan een kwart van de bekende beveiligingslekken.
Het gaat in dit geval om plug-ins die niet of nauwelijks meer worden ondersteund door de ontwikkelaar. WordPress verwijdert deze plug-ins vaak uit de eigen repository, zodat die niet meer door andere websites zijn te downloaden. Daarmee wordt echter niet het probleem verholpen voor websites die de betreffende plug-ins al hebben geïnstalleerd. Wordfence adviseert beheerders dan ook om dergelijke plug-ins te verwijderen voordat aanvallers er misbruik van maken.
Die hoef je niet te gebruiken en dat risico is dus voor jezelf.
maar vele van de plug-ins zijn daarnaast ook nog eens niet van updates voorzien.
Doe eens een scan van een willekeurige Word Press website en verbaas je vervolgens:
https://hackertarget.com/wordpress-security-scan/
En ga eens naar de console met Ctrl+Shift+I en doe eens een scannetje met webhint (als browser developer extensie).
Neem ook gelijk even een scannetje op af te voeren kwetsbaar jquery script mee via de extensie retire.js.
Tenslotte een SSL scannetje of een met Recx Securkity Analyser, dit brengt ook het nodige aan het licht.
WordPress websites voor de Hall of Fame zijn er niet zoveel, voor de Hall of Shame des te meer,
luntrus
maar vele van de plug-ins zijn daarnaast ook nog eens niet van updates voorzien.
Doe eens een scan van een willekeurige Word Press website en verbaas je vervolgens:
https://hackertarget.com/wordpress-security-scan/
En ga eens naar de console met Ctrl+Shift+I en doe eens een scannetje met webhint (als browser developer extensie).
Neem ook gelijk even een scannetje op af te voeren kwetsbaar jquery script mee via de extensie retire.js.
Tenslotte een SSL scannetje of een met Recx Securkity Analyser, dit brengt ook het nodige aan het licht.
WordPress websites voor de Hall of Fame zijn er niet zoveel, voor de Hall of Shame des te meer,
luntrus
Mooie site om te scannen, alleen geeft hij onder "User enumeration" wel de inlognaam van de site, dus alleen het wachtwoord nog en je bent in de admin.
Beetje heel erg slordig...
Ik kan het niet genoeg benadrukken, anders is het inderdaad wat je bromt, anoniem van 14:40,
dan ben je voer voor de poes en die hoeft niet eens l33t te zijn.
luntrus
- libs als SSL
- Webserver software
- PHP 5/6/7/8/etc.
- MySQL server/client
- WordPress met HTML versie X
- WordPress-template met CC versie X
- WordPress-plugin met API versie X
Hoe lang wil je dat zo'n pakket houdbaar blijft?
CMS: lekker makkelijk zodat de klant zelf dingen kan doen.
Maar tegelijkertijd zelf nooit de updates doet.
Zodat de leverancier nog steeds hooi op z'n vork heeft.
maar vele van de plug-ins zijn daarnaast ook nog eens niet van updates voorzien.
Doe eens een scan van een willekeurige Word Press website en verbaas je vervolgens:
https://hackertarget.com/wordpress-security-scan/
En ga eens naar de console met Ctrl+Shift+I en doe eens een scannetje met webhint (als browser developer extensie).
Neem ook gelijk even een scannetje op af te voeren kwetsbaar jquery script mee via de extensie retire.js.
Tenslotte een SSL scannetje of een met Recx Securkity Analyser, dit brengt ook het nodige aan het licht.
WordPress websites voor de Hall of Fame zijn er niet zoveel, voor de Hall of Shame des te meer,
luntrus
Mooie site om te scannen, alleen geeft hij onder "User enumeration" wel de inlognaam van de site, dus alleen het wachtwoord nog en je bent in de admin.
Beetje heel erg slordig...
Dat is voor zo een tool juist goed. Dit moet jij zelf dus beschermen!
Dus niet onvermeld gelaten, want dan leert men nooit goede website-onderhoud. ;)
Voor een Magento webshop-site bestaat er ook een mooie scansite, namelijk:
https://www.magereport.com/ (met dank voor het initiatief van onderzoeker GWillem).
Maar wat heeft men aan een mooi ontwikkelde, gelikte website,
als men daarna niets meer aan het onderhoud van het CMS (en plug-ins) doet.
Dan zit de rekening toch altijd na enige tijd onder in de zak.
En dat bovenstaande geldt helaas veel te vaak voor op PHP-gebaseerd website-CMS.
Idem dito verhaal in geval van een zogeheten 'parked' website.
Ook moeten bij website het niet gebruiken van best policies (CMS etc.) aangekaart worden.
Door hier geen aandacht voor te hebben komen nog te veel website bezoekers in gevaar.
luntrus
is dit toch wel even een dingetje.
Maar eerlijk is eerlijk, security.nl heeft elke keer dit gerapporteerd en aan de bel getrokken.
Hulde daarvoor. Instructing the choir, one at a time.
De impact qua verbetering van de plug-in security blijft te laag,
maar elke website admin, die er wat aan gaat doen, is er wel 1.
Website security en error-hunten, je gaat het bijna als een onbegonnen taak beschouwen.
Dus, degenen, die we hier erop gewezen hebben, onthou het, dan gaat deze kennis niet meer weg.
luntrus
https://www.wordfence.com/blog/2023/08/demystifying-the-wordpress-vulnerability-landscape-2023-mid-year-wordfence-intelligence-wordpress-vulnerability-review-leveraging-chatgpt/
luntrus
maar vele van de plug-ins zijn daarnaast ook nog eens niet van updates voorzien.
Doe eens een scan van een willekeurige Word Press website en verbaas je vervolgens:
https://hackertarget.com/wordpress-security-scan/
Ik verbaas me vooral om de stupiditeit van deze tool. Die zoekt alleen in de root naar standaard plekken. Installeer je WordPress in een andere directory dan vind ie meteen helemaal niks.
Kijk een l33t website developer zal zo'n tool ook helemaal niet nodig hebben.
Die weet zelf wel dat ie moet updaten en upgraden en hoe veilig te configureren.
Daar gaat het dus ook helemaal niet om.
De tool is bedoeld voor een primaire quick and dirty.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
