image

Miljoenen WordPress-sites kwetsbaar door kritiek lek in LiteSpeed Cache

woensdag 21 augustus 2024, 16:43 door Redactie, 6 reacties

Miljoenen WordPress-sites lopen het risico om via een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache door aanvallers te worden overgenomen. Een update is beschikbaar, maar een groot aantal websites heeft die nog niet geïnstalleerd. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van.

Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om zijn user ID te spoofen en zich als beheerder te registreren, waarmee vervolgens de website kan worden overgenomen. Daarvoor waarschuwt securitybedrijf Wordfence dat op korte termijn actief misbruik van het beveiligingslek verwacht.

De kwetsbaarheid (CVE-2024-28000), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd door securitybedrijf Patchstack aan de ontwikkelaars gerapporteerd. Op 13 augustus verscheen versie 6.4 waarin het probleem is opgelost. In de dagen na het uitkomen van de update werd die door zo'n anderhalf miljoen WordPress-sites geïnstalleerd, zo blijkt uit cijfers van WordPress.org, wat inhoudt dat nog miljoenen sites kwetsbaar zijn en risico lopen.

Reacties (6)
21-08-2024, 19:44 door Anoniem
Er zijn ook miljoenen websites die beter af zouden zijn met gegenereerde statische pagina's, deze websites laden razend snel, geen plugin voor nodig.
21-08-2024, 20:48 door Anoniem
Echt, wat is er nodig om mensen in te laten zien dat Wordpress rommel is. Veilige IT is voor een belangrijk deel ook simpelweg een keuze!
21-08-2024, 22:21 door Ron625
Door Anoniem: Echt, wat is er nodig om mensen in te laten zien dat Wordpress rommel is.
Veilige IT is voor een belangrijk deel ook simpelweg een keuze!
En ik heb nog niet één wordpress website gezien, die foutloos door de W3C validator komt.
Het is dus inderdaad spaghetti :-)
21-08-2024, 22:46 door Anoniem
Door Anoniem: Echt, wat is er nodig om mensen in te laten zien dat Wordpress rommel is. Veilige IT is voor een belangrijk deel ook simpelweg een keuze!
Wp is geen probleem voor de normale gebruiker. Het probleem zit in sommige plug-inns en het niet updaten ervan.
Hetzelfde bij Android, het probleem zit hem daar in de Apps.
22-08-2024, 10:05 door Anoniem
Door Anoniem: Er zijn ook miljoenen websites die beter af zouden zijn met gegenereerde statische pagina's, deze websites laden razend snel, geen plugin voor nodig.

Ja, dat klopt. Ik gebruik zelf Nikola als static site generator. Er valt simpelweg niets te hacken. Geen querystrings, geen database, geen formulieren, gewoon HTML.
22-08-2024, 10:10 door Anoniem
kritiek lek in LiteSpeed Cache
OpenLiteSpeed was totaal niet POSIX compliant, en daardoor onmogelijk op wel-nette systemen te instaleren.
Zelfs met de beste wil niet.
De commerciele versie leek mij weinig beter, behalve dat ze snel met QUIC waren, voordat HTTP2.0 er werkelijk was.
Maar heb je weinig aan als browsers daar niks mee doen.
Kortom, dit kritieke lek ...heb ik geen last van.

Er zijn ook miljoenen websites die beter af zouden zijn met gegenereerde statische pagina's, deze websites laden razend snel, geen plugin voor nodig.
Absoluut. En i.c.m. SVG en compressie van images (zoals webp) zijn zelfs mega-grote websites op een simpele server in Amsterdam sneller dan CloudFlare, Bitfly en Akamai het kunnen "versnellen". Vooral Azië wekte mijn verbazing.
CDN is overrated.

Het probleem zit in sommige plug-inns en het niet updaten ervan.
Hetzelfde bij Android, het probleem zit hem daar in de Apps.
Waar. Maar lost zich vanzelf op:
heb een WP site met 3 willekeurige plugins, doe 3 jaar WP niet updaten, en PHP wel,
...dan valt die site vanzelf niet eens meer te hacken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.