Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Ruim miljoen WordPress-installaties vatbaar voor xss-kwetsbaarheid plugin'

Een beveiligingsbedrijf heeft onlangs tijdens een routinecontrole een xss-kwetsbaarheid gevonden in WordPress. Door het lek kunnen kwaadwillenden malafide code injecteren en uitvoeren. In potentie zijn ruim een miljoen actieve installaties vatbaar.

Beveiligingsbedrijf Sucuri was naar eigen zeggen bezig met een routine-audit toen het een 'gevaarlijk' xss-lek ontdekte in de populaire WordPress-plugin WP-Super-Cache. Met de plugin zijn php-scripts van WordPress om te zetten in statische html-bestanden, waarmee de website sneller te serveren is.

De kwetsbaarheid staat kwaadwillenden toe om malafide code uit te voeren. Daardoor kunnen zij volgens Sucuri onder andere adminrechten van de site verkrijgen, backdoors installeren en meer. Volgens Wordpress.org zijn er meer dan een miljoen actieve installaties met WP-Super-Cache. In de nieuwste versie van de plugin, 1.4.4, is de kwetsbaarheid inmiddels verholpen.

WordPress is een populair cms dat websitebeheerders wereldwijd gebruiken. Er duiken geregeld kwetsbaarheden op in het systeem, vaak ook het gevolg van plugins die niet helemaal waterdicht blijken. Laatst kwam nog naar buiten dat zeker drieduizend websites malware serveren aan gebruikers door een plugin die met een beveiligingsprobleem kampte.

Door Yoeri Nijs

Nieuwsposter

07-04-2015 • 20:25

39 Linkedin Google+

Reacties (39)

Wijzig sortering
QTranslate-X inderdaad. Vervangt je bestaande Qtranslate en doet precies hetzelfde.

Ontopic; het is de laatste tijd veel raak met wordpress en security issues:

revolution slider / soak soak malware

Malipoet wordpress hack

Zo even 2 meest recente exploits die massaal werden misbruikt. Ik wordt er eerlijk gezegd niet goed van. Gelukkig zijn er wel goede plugins zoals wordfence waarmee je 'changes' in bestanden direct op kunt merken, en zelfs kunt vergelijken met wordpress repository. Het dichttimmeren is mogelijk maar je moet minimaal aantal plugins hebben, of gewoon afstappen op gebruik van wordpress en zelf iets creeren. Op die manier is het ook veiliger. Aan alle kanten kan je ook uitlezen of iemand wordpress draait, welke plugins, welke (standaard) themes en dergelijk. Plugin bovenop plugin is niet de remedie maar de plugin base waar men eens moet beginnen.
Daarnaast zijn er gelukkig ook steeds meer hostingproviders in Nederland die gebruik maken van Patchman. Dat is een tool die automatisch dergelijke beveiligingslekken patcht, zonder de website stuk te maken.

Disclosure: ik ben één van de oprichters van Patchman. We zijn bezig met een patch voor dit lek.

[Reactie gewijzigd door Tuvow op 7 april 2015 21:25]

Ik snap niet dat dit weggevote wordt.

1. Websites draaien op opensource pakketten (CMS marktaandeel: Wordpress (60.3%), Joomla (7.3%) en Drupal (5.1%)).
2. Pakketten worden zelden of nooit geupdate (Is bij Wordpress een groter issue dan bij bijvoorbeeld Drupal, omdat Drupal vaker door grote sites gebruikt wordt). 1.
3. Software heeft fouten

Ergo probleem voor webhoster, websitebouwer, website eigenaar en de websitebezoeker.

Daar komen nu zo langzamerhand de eerste tools voor beschikbaar die dit probleem aanzienlijk kleiner maakt, door preventief te patchen. Eén van de tools is Patchman, iets wat internationaal aandacht kreeg bij lancering (sterker nog Tweakers berichtte er zelf over). De maker ervan reageert - zet er ook nog bij vanuit welke rol - en... "we" voten het weg.

1. Drupal sites verwerken meer verkeer / site dan Wordpress sites. Zie ook de top 10k sites/ top 100k etc sites.

P.s. De data van CMS gebruik in niet heel erg accuraat, want de beste data daarvoor komt van het Nederlandse Dataprovider, maar dat durf ik hier bijna niet meer te noemen.

We mogen wel iets trotser zijn op wat we in NL doen op startup gebied. Die trots mis is vooral bij ons - kritische Tweakers - regelmatig.

[Reactie gewijzigd door Ma_rK op 7 april 2015 22:29]

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True