mboost-dp1

WordPress

Over 100.000 WordPress-sider i fare for hack

-

En sårbarhed i plugin’et ThemeGrill lader udefrakommende få adgang til WordPress installationen

Sårbarheden er enkel – udviklerne af plugin’et ThemeGrill har glemt at kræve autorisation af brugerne, før deres nulstil-database funktion kan benyttes. Det betyder at udefrakommende kan angribe en hjemmeside, ved at helt nulstille installationen.

Derefter bliver brugeren automatisk logget ind som “admin” på installationen, givet af denne bruger findes.

Sikkerhedsfirmaet WebARX rapporterer at de allerede har blokeret over 16.000 forsøg på angreb af netop denne type. Det oprindelige tal lød på 200.000 installationer af ThemeGrill, men er senere blevet nedjusteret til 100.000.

Sårbarhederne i WordPress og ikke mindst de temaer og plugins der følger med, er ikke alene en alvorlig situation for den enkelte hjemmeside der benytter WordPress, men også for internettet som hele – hvor 61.8% af alle CMS’er er WordPress.

De tekniske detaljer fra WebARX kan læses her





Gå til bund
Gravatar #1 - SukkerFri
19. feb. 2020 08:57
"Wordpress" lider lidt under deres popularitet. Jo flere brugere, jo sjovere at finde huller.

Jeg kender flere som laver hjemmesider til højre og venstre og så ikke holder skidtet ved lige. Det kan hurtigt gå rigtig rigtig galt så.
Gravatar #2 - Zalon
19. feb. 2020 09:25
Man skal godt nok være vågen med en self hosted WordPress, jeg har som #1 set mange sider som ikke er blevet vedligeholdt, tidligere ofte med diverse hacks/plugins som gjorde at siderne ikke nemt kunne opdateres.

Når siderne så er kompromitteret, så er det ikke ligesom i gamle dage hvor folk defacede dem, nej det er popups, cryptominere, SEO spam eller lignende. Ofte sat op sådan at det kun sker for nye besøgende eller i hvert fald ikke for besøgende som er logget ind.

Har set mange WordPress sider som er sådan uden at ejerne har haft nogen idé om det.

Tænker at det både bunder i WordPress' popularitet, men også i at det er meget udbredt blandt folk med en smule web færdigheder. Typisk folk som kan finde ud af at sætte ting op, men ikke kan programmere selv, som lige smækker et website sammen for en skilling, for virksomheder med en meget lille tech forståelse.
Gravatar #3 - larsp
20. feb. 2020 11:21
#2 ja, jeg havde engang en selvhostet WP blog. Den var forbavsende irriterende at vedligeholde. Der var konstant updates og jo flere plugins jo værre. Ved hver update var der usikkerheden om ting ville holde op med at virke i mit custom theme osv.

Jeg er skiftet til en statisk html side der bliver skabt ud fra markdown source (static site generator). En meget meget bedre måde at lave simple websider på.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login