image

WordPress-sites aangevallen via kritiek lek in LiteSpeed Cache

vrijdag 23 augustus 2024, 09:55 door Redactie, 6 reacties

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache voor het aanvallen van WordPress-sites, zo waarschuwt securitybedrijf Wordfence. Miljoenen websites hebben de update waarmee het probleem wordt verholpen nog niet geïnstalleerd. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van.

Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om zijn user ID te spoofen en zich als beheerder te registreren, waarmee vervolgens de website kan worden overgenomen. De kwetsbaarheid (CVE-2024-28000), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd door securitybedrijf Patchstack aan de ontwikkelaars gerapporteerd. Op 13 augustus verscheen versie 6.4 waarin het probleem is opgelost.

Afgelopen woensdag liet Wordfence al weten dat het op korte termijn misbruik van de kwetsbaarheid verwachtte. In het eigen dashboard meldt het securitybedrijf dat het de afgelopen 24 uur bijna dertigduizend aanvallen heeft geblokkeerd waarbij aanvallers via het beveiligingslek WordPress-sites probeerden aan te vallen. Beheerders die de update nog niet geïnstalleerd hebben worden opgeroepen dit te doen.

Reacties (6)
23-08-2024, 10:16 door Anoniem
Het gebruik van cache plugins is helemaal niet nodig. Een goeie webserver doet het al en aan de andere kant een goeie browser ook.
23-08-2024, 13:12 door Klip
Door Anoniem: Het gebruik van cache plugins is helemaal niet nodig. Een goeie webserver doet het al en aan de andere kant een goeie browser ook.

Onzin, tegenwoordig helpen de plugins optimaal gebruik te maken van de server side cache, immers hoeft niet alles in de cache te blijven plakken.

Er zijn overigens genoeg mensen die ook de cache van hun browser weggooien, zo ook voor de simpele gebruiker.
Ccleaner heeft hiervoor zelfs een optie voor gemaakt, die bij afsluiten van x browser alle data verwijderd van die sessie.
23-08-2024, 13:18 door Anoniem
Door Anoniem: Het gebruik van cache plugins is helemaal niet nodig. Een goeie webserver doet het al en aan de andere kant een goeie browser ook.
Weet je zeker dat die plug-ins niets toevoegen? Ik ben geen Wordpress-kenner, maar als ik hiernaar zoek zie ik geen bevestigingen van wat jij nu stelt, alleen maar dat die cache plug-ins wel wat toevoegen. Het gaat hier overigens om server-side caching, om te zorgen dat dezelfde request van een ander hetzelfde resultaat geeft. Bij browser-side caching voorkomt de browser dat de request gedaan wordt. Daarvoor hoeft de server alleen aan te geven dat de inhoud niet direct expireert (en wanneer dan wel natuurlijk) en is geen caching op de server nodig.

Een webserver, Apache bijvoorbeeld, weet niet wat een generator van dynamische content, zoals Wordpress, intern allemaal uitspookt en kan dus ook niet bepalen of een request voor dezelfde URL die door de generator wordt afgehandeld elke keer tot dezelfde inhoud zal leiden, ook in verschillende gebruikerssessies. Dan kan zo'n webserver niet anders dan aannemen dat de inhoud elk moment anders kan zijn, en is de generator van de dynamische content de enige plek waar server-side caching geïmplementeerd kan worden.

De cache plug-ins voor Wordpress die duidelijk volop bestaan suggereren dat Wordpress geen ingebouwd caching-mechanisme heeft maar dat het wel zo in elkaar zit dat een plug-in in staat is om te voorspellen of eerder gegenereerde inhoud herhaald wordt of niet.

Als dit allemaal klopt dan denk ik dat je ongelijk hebt en dat die cache plug-ins wel wat toevoegen.

Waarbij ik het overigens bizar vind hoeveel statische content tegenwoordig door generatoren voor dynamische content wordt opgeleverd. In mijn ogen is dan een website-generator die zelf niet aan het web hangt veel verstandiger. Elk programma of script dat je als onderdeel van een live server extra draait is er een extra waarin mogelijk een lek kan zitten dat geëxploiteerd kan worden. Maar de omweg die je dan moet maken zal menigeen wel een stuk lastiger vinden.
23-08-2024, 19:09 door Anoniem
Door Anoniem: Het gebruik van cache plugins is helemaal niet nodig. Een goeie webserver doet het al en aan de andere kant een goeie browser ook.

Dan begrijp je waarschijnlijk niet hoe een website dan wel een server werkt, anders zou je zo'n uitspraak niet doen!
23-08-2024, 19:27 door Anoniem
Het klopt dat zowel goede webservers als browsers caching kunnen uitvoeren, maar cache plugins kunnen nog steeds een belangrijke rol spelen, vooral voor dynamische websites zoals die gebouwd met WordPress.

Webservers en caching: Een goede webserver kan inderdaad caching implementeren, zoals het opslaan van statische bestanden (HTML, CSS, JavaScript) om de laadtijden te verkorten. Dit helpt de serverbelasting te verminderen en de prestaties te verbeteren1.

Browsers en caching: Browsers hebben ook ingebouwde cachingmechanismen die veelgebruikte bestanden lokaal opslaan, zodat ze niet telkens opnieuw gedownload hoeven te worden. Dit versnelt de laadtijd voor terugkerende bezoekers2.

Cache plugins: Cache plugins gaan echter een stap verder door dynamische content te cachen. Ze kunnen bijvoorbeeld databasequery’s en PHP-scripts cachen, wat vooral nuttig is voor websites met veel dynamische content. Dit kan de serverbelasting aanzienlijk verminderen en de laadtijden verder verkorten3.

Kortom, hoewel een goede webserver en browser caching kunnen helpen, bieden cache plugins extra voordelen die vooral nuttig zijn voor dynamische websites. Wat denk jij hierover? Heb je ervaring met het gebruik van cache plugins?
24-08-2024, 23:18 door Anoniem
Heb je ervaring met het gebruik van cache plugins?

Echt wel en vaak gedonder mee gehad. Zeker met een dynamische site, kan rustig een uur duren voordat een update door de cache komt en dan heb je ook nog zaken die eenvoudig blijven hangen in zo een cache.

Kijk ik naar mijn apache server, dan houdt die juist de veel bekeken dynamische content in memory. Om die zo snel mogelijk aan de volgende te kunnen leveren. Altijd gezipt als dat kan. Daar kan van de serverkant geen cache wat aan verbeteren. Van mijn kant kan ik ook goed in mijn statistiek (Matomo) zien hoe snel de pagina's laden bij gebruikers wereldwijd. Met en zonder cache plugins. Een cache plugin heeft ook processortijd nodig dus kan het zelfs trager maken.

Ik denk er dus eigenlijk niks over want dat hoeft niet. Meten is weten. Voor de piekladingen wat processors erbij geprikt. Echt duur is dat niet. Alles vliegt er dynamisch en vers van de pers uit. Supersnel. Geen wonderdokter plugins bij nodig. Die ook nog eens een extra veiligheidsrisico kunnen zijn. Kunnen kijken wat je webserver doet en de verschillende browsers doen. Kun je dat niet, dan moet je het maar met je mening doen. Bij mij werkt alles als de vliegende brandweer. Zonder TiTaTovenaar plugins.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.