Waarom Two-Factor Authentication (2FA)?

Two-Factor Authentication (2FA)

Naarmate we steeds meer dingen op onze mobiele apparaten en laptops doen, is het niet zo verwonderlijk dat onze digitale accounts een grote aantrekkingskracht hebben op criminelen. Overheden en grote bedrijven maar ook kleine ondernemers en individuen zijn regelmatig het slachtoffer van hackers. Het is dan ook belangrijk dat je er alles aan doet om je website te beveiligen. In dit artikel gaan we het hebben over een manier om een extra beveiligingslaag aan je WordPress gebruikersaccounts toe te voegen door middel van Two-Factor Authentication (2FA).

Verder lezen

Kwetsbaarheden in Ultimate Member plugin

Ultimate Member plugin

Eind oktober ontdekte het Threat Intelligence team van Wordfence meerdere kwetsbaarheden in de Ultimate Member plugin. Deze kwetsbaarheden maken het mogelijk voor een aanvaller om admin rechten te verkrijgen, waardoor ze dus in principe de volledige website kunnen overnemen. De ontwikkelaar heeft inmiddels een update met patch uitgerold.

Verder lezen

WooCommerce 4.6.2 is nu beschikbaar (security update!)

WooCommerce 4.6.2

Afgelopen week werd WooCommerce 4.6.2 uitgerold. Het betreft een security update met een patch voor een kwetsbaarheid die mensen in staat stelde om een account aan te maken tijdens het checkout proces, zelfs wanneer deze instelling was uitgeschakeld. Het WooCommerce team ontdekte de kwetsbaarheid nadat tientallen gebruikers meldingen maakten over spam orders of bestellingen met valse betaalgegevens. Toen bleek dat hun webwinkels werden aangevallen door een bot.

Verder lezen

Veiligheidsupdate Discount Rules for WooCommerce

Discount Rules for WooCommerce

Op 20 augustus werden er meerdere kwetsbaarheden aangetroffen in de Discount Rules for WooCommerce plugin, die op meer dan 40.000 WordPress websites geïnstalleerd is. Inmiddels is er een update met patch uitgerold. Gebruikers die de plugin nog niet geüpdatet hebben worden dan ook geadviseerd om dit zo snel mogelijk te doen.

Verder lezen

Zero-day lek in File Manager plugin

file manager plugin

Op 1 september werd er een zero-day lek aangetroffen in de File Manager plugin. Dezelfde dag werd er nog een update met patch uitgerold. Echter heeft het Threat Intelligence Team van Wordfence geconstateerd dat er actief misbruik wordt gemaakt van het lek op de sites die nog niet geüpdatet hebben naar de meest recente versie.

Verder lezen

Kwetsbaarheden in Quiz and Survey Master plugin

Quiz and Survey Master plugin

Maak jij toevallig gebruik van de Quiz and Survey Master plugin op je WordPress site? Dan is het aan te raden om te controleren of je deze plugin recentelijk nog geüpdatet hebt. Er zijn namelijk twee kritieke kwetsbaarheden in de plugin aangetroffen, welke er in het ergste geval voor zouden kunnen zorgen dat aanvallers toegang kunnen krijgen tot alle websites die op de betreffende server gehost worden.

Verder lezen

Verborgen feature in WordPress 5.5 blokkeert malafide plugins

verborgen feature

WordPress 5.5 “Eckstine”, dat vorige week gelanceerd werd, bevat een verborgen feature die voorkomt dat websites door malafide plugins kunnen worden overgenomen. De feature maakt het mogelijk om te controleren of een plugin legitiem is. Is dat het niet geval, dan worden updates geblokkeerd.

Verder lezen

Apple gaat geldigheid van TLS en SSL certificaten beperken tot 1 jaar

geldigheid van TLS en SSL

Met ingang van 1 september 2020 zal Apple’s Safari browser geen TLS en SSL certificaten meer vertrouwen die langer dan 398 dagen geleden verstrekt zijn. Ook Google en Mozilla hebben aangegeven op korte termijn maatregelen te treffen om de geldigheid van certificaten tot 398 dagen te beperken.

Verder lezen

Newsletter plugin bevat kwetsbaarheden

newsletter plugin

Newsletter, een gratis WordPress plugin met meer dan 300.000 installaties, bleek een paar kwetsbaarheden te bevatten die uiteindelijk kunnen leiden tot overname van de website. De bugs werden ontdekt door het team van Wordfence, dat de ontwikkelaar van de plugin op de hoogte stelde.

Verder lezen

XSS-kwetsbaarheid in All in One SEO Pack plugin

xss-kwetsbaarheid

Op woensdag 15 juli werd er een update uitgerold voor de All in One SEO Pack plugin. Het gaat om een beveiligingsupdate met een patch voor een XSS-kwetsbaarheid die op 10 juli werd ontdekt door onderzoekers van Wordfence. Gebruikers van de plugin worden dan ook geadviseerd om zo snel mogelijk te updaten naar de meest recente versie. Op dit moment is dat versie 3.6.2.

Verder lezen

Kwetsbaarheid in Google Site Kit plugin gepatched

Google Site Kit plugin

Eind april ontdekte Wordfence een ernstige kwetsbaarheid in Google’s Site Kit plugin voor WordPress. Inmiddels heeft Google een update met patch uitgebracht. Gebruikers van de Google Site Kit plugin krijgen dan ook het advies om onmiddellijk te updaten naar de meest recente versie.

Verder lezen

De beste security plugins voor WordPress in 2020

security plugins voor WordPress

We hebben al eens eerder een overzicht gemaakt van de beste security plugins voor WordPress, maar dat is alweer een aantal jaar geleden. Inmiddels zijn een aantal van de plugins uit die lijst niet meer up-to-date, van WordPress.org verwijderd of niet meer actief onderhouden. Tijd voor een nieuwe lijst dus! Dit zijn de beste security plugins voor WordPress in 2020.

Verder lezen

Zeker 11 plugins misbruikt voor hackcampagne

plugins misbruikt

Kwetsbaarheden in ten minste 11 WordPress plugins worden momenteel misbruikt voor een hackcampagne. Het lijkt te gaan om een groep van hackers. De aanvallen begonnen vorige maand al, echter leek de groep twee weken terug hun tactiek te veranderen. Dat meldde Mikey Veenstra in een blogpost op de website van WordFence. Verder lezen

WordPress Security Team wil minder beveiligingsupdates voor oude WP versies

Minder beveiligingsupdates

Het WordPress Security Team is bezig met het verkennen van de mogelijkheden om het aantal beveiligingsupdates voor oudere WordPress versies terug te brengen. Met elke groter versie die wordt uitgebracht, gaat er meer tijd zitten in het ondersteunen van oudere versies tot 3.7. Dat is de update die automatische achtergrond updates introduceerde.

Verder lezen

Kwetsbaarheden in 2 populaire Facebook WordPress plugins?

facebook wordpress plugins

Een WordPress security onderzoeker van PluginVulnerabilities.com claimt dat hij kwetsbaarheden heeft aangetroffen in twee Facebook WordPress plugins. Het gaat om Facebook for WooCommerce en Messenger Customer Chat. De onderzoeker heeft de kwetsbaarheden afgelopen maandag openbaar gemaakt zonder de auteur op de hoogte te stellen, naar eigen zeggen “uit protest tegen de moderators op het WordPress Support Forum.”

Verder lezen

Dringend update advies voor 2 WooCommerce plugins

dringend update advies

WooCommerce webshops krijgen een dringend update advies voor hun plugins. Volgens Security.nl zijn er namelijk twee WooCommerce plugins die kwetsbaarheden bevatten. Het gaat om WooCommerce Checkout Manager en WooCommerce User Email Verification.

Verder lezen

Beveiligingsprovider verspreidde opzettelijk info over zero-day kwetsbaarheden in plugins

zero-day kwetsbaarheden

De afgelopen drie weken zijn er in totaal zo’n 160.000 websites blootgesteld aan zero-day kwetsbaarheden in een aantal WordPress plugins. Het ging om Social Warfare, Easy WP SMTP, de Yuzo plugin en de Yellow Pencil plugin. De kwetsbaarheden stelden kwaadwillenden in staat om bezoekers van websites die een van deze plugins gebruikten, door te sturen naar malafide websites. Nu blijkt dat de informatie over de zero-day kwetsbaarheden opzettelijk werd verspreid voordat de ontwikkelaars de kans kregen om een patch beschikbaar te stellen. En wel door iemand die zich een ‘beveiligingsprovider’ noemt. Dat meldde Ars Technica deze week.

Verder lezen