Met Buggy WordPress Plugin kunnen gebruikers hele websites wissen

Beveiligingsonderzoekers met Wordfence - een op beveiliging gerichte plug-in voor WordPress - vonden een kritieke bug in een andere plug-in voor het publicatieplatform. Het probleem werd opgemerkt in de HashThemes Demo Importer-add-on voor WordPress en de ernst van het probleem is vrij hoog.

Door de fout in de HashThemes Demo Importer-plug-in kon een gebruiker die zich heeft aangemeld bij het WordPress-platform en toegang heeft tot de backend van een website, alle inhoud volledig wissen, inclusief pagina's, artikelen en media, evenals de inhoud van databases die door de site worden gebruikt. Volgens statistieken hadden zo'n 8 duizend websites de plug-in actief toen de bug werd ontdekt.

Het oorspronkelijke doel van de demo-importer-plug-in is om op WordPress gebaseerde sitebeheerders demo's van visuele WordPress-thema's en -ontwerpen met een enkele klik te laten importeren. De plug-in versnelt het voorbeeldproces aanzienlijk en vereist geen handmatige verwerking van verschillende instellingsbestanden die mogelijk specifiek zijn voor de gebruikte site en het gebruikte thema.

Het team van Wordfence onthulde de bug volgens het gepaste protocol, maar de ontwikkelaar van de demo-importeur reageerde wekenlang niet. Ten slotte brachten de onderzoekers het probleem rechtstreeks naar het WordPress-plug-insteam en werd de defecte versie van de plug-in op dezelfde dag verwijderd. Vier dagen later werd er een gepatchte en gefixeerde versie teruggezet.

Wordfence legde uit dat het probleem met de plug-in lag in de manier waarop het Ajax gebruikte. Door de bug kon elke gebruiker die was ingelogd, zelfs gebruikers met zeer beperkte standaardrechten en toegang, zoals abonnees, drastische wijzigingen aanbrengen in de website, waaronder het volledig wissen van alle inhoud op de site waarop de plug-in wordt uitgevoerd.

De simpele conclusie hier is dat elke handige plug-in die u aan uw bestaande WordPress-setup wilt toevoegen, het potentiële oppervlak voor aanvallen vergroot. Rijkere functionaliteit en meer gebruiksgemak hoeven niet altijd ten koste te gaan van de beveiliging, maar met plug-ins van derden is er altijd de mogelijkheid dat er een paar scheurtjes aanwezig zijn en in het zicht verborgen zijn.

Tegen Zaib
October 28, 2021
Computer Security
Nederlands
October 28, 2021
Computer Security

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.