IN DEZE HANDLEIDING:
WordPress-sites aangetast door XSS-kwetsbaarheid in plugin
(juni 2022)
Ongeveer 40.000 WordPress websites dreigen te worden overgenomen door een kwetsbaarheid in de Download Manager plug-in. Download Manager is een plug-in waarmee webmasters downloads van hun WordPress website kunnen bijhouden en beheren. Zo kan voor elke gebruiker het aantal downloads of de downloadsnelheid worden ingesteld.
Bovendien kan de plug-in worden gebruikt voor een webshop om digitale producten te verkopen.
Meer dan 100.000 WordPress sites gebruiken de Download Manager. Een onderdeel van de plug-in bevat een cross-site scripting (XSS) kwetsbaarheid veroorzaakt door inadequate afhandeling van gebruikersinvoer.
Door een gebruiker van de plug-in een frauduleuze link te openen, kan een aanvaller willekeurige code uitvoeren in de browser van het slachtoffer, meldt beveiligingsbedrijf Wordfence:
40.000 WordPress-sites aangetast door XSS-kwetsbaarheid in WordPress plugin
Een aanvaller kan zo gevoelige informatie of cookie-waarden stelen en in het ergste geval beheerdersrechten krijgen of een achterdeur installeren. In het geval van de Download Manager zouden zowel de klantgegevens als de toegang tot de aangeboden digitale producten gevaar lopen.
Een aanvaller die er via de kwetsbaarheid in slaagt toegang te krijgen tot de sessiecookies van de beheerder, kan zo de instellingen voor het betalingsproces wijzigen en zelfs nepproducten toevoegen.
De kwetsbaarheid is aanwezig in versie 3.2.42 en ouder van de plug-in en zal worden verholpen met versie 3.2.43. Op het moment van schrijven hebben ongeveer zestigduizend van de honderdduizend WordPress websites met Download Manager de laatste versie geïnstalleerd, wat betekent dat ongeveer veertigduizend websites nog steeds gevaar lopen.
Handleidingen XSS bescherming
Meer handleidingen voor XSS bescherming en WordPress websites:
XSS cross-site scripting-aanval bescherming WordPress
Wat is een WordPress XSS-aanval Bij een cross-site scripting aanval, kortweg WordPress XSS, injecteert een…
X-XSS protection oplossen HTTP-beveiligingsheaders
X-XSS protection toevoegen aan HTTP-beveiligingsheaders Met HTTP-beveiligingsheaders kunt u een extra beveiligingslaag toevoegen aan uw…
Controleren HTTP-beveiligingsheaders XXS WordPress site
Hoe HTTP-beveiligingsheaders voor een website te controleren Als je HTTP-beveiligingsheaders hebt toegevoegd aan je WordPress…
Broncode WP pagina verbergen in browser met plugin
Om WordPress 100% white label te maken en om uw web design technieken geheim te…
Onderhoud website is cruciaal
Het onderhoud van je WordPress website is dus heel belangrijk. We hadden een aantal websites in beheer waar de download manager gebruikt was. Gelukkig hadden we een firewall aanstaan en doen we wekelijks updates om de websites te beschermen. Lees hier meer over onderhoudscontracten:
CursusWP litespeed webhosting Supersnel
Supersnel het beste
Pakket: Pro | 25,00 per maand
Voor alle sites | service optimaal
24/7 emergency…