Nieuws

Cross-Site Scripting (XSS)-kwetsbaarheid Eind mei meldde een beveiligingsonderzoeker een Cross-Site Scripting (XSS)-kwetsbaarheid in Download Manager, een WordPress plugin die op meer dan 100.000 sites is geïnstalleerd. Wie de Wordfence Firewall van de Wordfence plugin actief heeft staan loopt geen risico: die beschermt tegen Cross-Site Scripting-kwetsbaarheden. Hoewel Wordfence bescherming biedt tegen dit beveiligingslek, adviseer ik de […]

Op 17 februari 2022 is er voor WordPress plugin UpdraftPlus een beveiligingsupdate uitgekomen. Door een kwetsbaarheid kon elke ingelogde gebruiker, inclusief gebruikers op abonneeniveau, backups downloaden die met UpdraftPlus zijn gemaakt. Backups bevatten veel gevoelige informatie en configuratiebestanden die kunnen worden gebruikt om toegang te krijgen tot de database en de inhoud van de database […]

Op 28 september 2021 zijn kwetsbaarheden ontdekt in OptinMonster , een WordPress plugin die op meer dan 1.000.000 sites is geïnstalleerd. Deze kwetsbaarheden maakten het voor een willekeurige sitebezoeker mogelijk om gevoelige informatie te exporteren en kwaadaardig JavaScript toe te voegen aan WordPress websites. De OptinMonster ontwikkelaar heeft de volgende dag een patch uitgebracht, waarna […]

Op 31 augustus 2021 is een ​​kwetsbaarheid in Sassy Social Share ontdekt, een WordPress plugin die op meer dan 100.000 WordPress websites is geïnstalleerd. De kwetsbaarheid gaf gebruikers op abonnee-niveau de mogelijkheid om code op afstand uit te voeren en een kwetsbare site over te nemen. Sites waarop iedereen zich als nieuwe gebruiker kan registreren […]

Tijdens een interne audit van de plugin WP Fastest Cache door Jetpack zijn kwetsbaarheden ontdekt: Een Authenticated SQL Injection- kwetsbaarheid en een Stored XSS ( Cross-Site Scripting ) via Cross-Site Request Forgery (CSRF). Bij misbruik kan de SQL Injection kwetsbaarheid aanvallers toegang geven tot gevoelige informatie uit de database van de getroffen website, zoals gebruikersnamen […]

Op 3 augustus 2021 is een tweetal beveiligingslekken ontdekt in de plugin Ninja Forms. Deze plugin is op meer dan 1.000.000 sites geïnstalleerd. De kwetsbaarheden maakten het voor een aanvaller mogelijk om gevoelige informatie te exporteren en willekeurige e-mails te verzenden voor phishing doeleinden. De ontwikkelaar van Ninja Forms heeft op 7 september 2021 een […]

Eind juli werd door Wordfence een kwetsbaarheid ontdekt in Booster for WooCommerce, een WordPress plugin die op meer dan 80.000 websites is geïnstalleerd. De kwetsbaarheid maakte het voor een aanvaller mogelijk om in te loggen als elke gebruiker, zolang bepaalde opties in de plugin waren ingeschakeld. Wordfence meldde het lek bij de ontwikkelaar van de […]

Wordfence heeft in samen met WPScan bekeken hoe het staat met de WordPress-beveiliging, op basis van de gegevens over het eerste halfjaar van 2021. Met behulp van aanvalsgegevens die zijn vastgelegd in het systeem van Wordfence en kwetsbaarheidsgegevens uit de kwetsbaarheidsdatabase van WPScan, kon de huidige trend van aanvallen op WordPress worden geanalyseerd en op […]

560 miljoen wachtwoorden online gezet Deze week is er een nieuwe database ontdekt met 560 miljoen (!) wachtwoorden ontdekt. Online beschikbaar. Met daarin 243 miljoen unieke e-mailadressen. Deze e-mailadressen en wachtwoorden zijn vermoedelijk afkomstig van hacks van verschillende platforms. Waar ze exact vandaan komen is (nog) niet bekend. Maar je hoeft geen cyber-nerd te zijn om te begrijpen dat dit schadelijk […]

Vorige week had ik wat aan de hand dat ik niet eerder heb gezien: na het weghalen van een hack uit een WordPress site gaf Google de website aanvankelijk vrij. So far so good. Maar na enkele dagen stuurde Google een waarschuwing: er zou een pagina geïnfecteerd zijn met kwaadaardig script. De betreffende pagina heb […]