XSS-kwetsbaarheid in All in One SEO Pack plugin

xss-kwetsbaarheid

Op woensdag 15 juli werd er een update uitgerold voor de All in One SEO Pack plugin. Het gaat om een beveiligingsupdate met een patch voor een XSS-kwetsbaarheid die op 10 juli werd ontdekt door onderzoekers van Wordfence. Gebruikers van de plugin worden dan ook geadviseerd om zo snel mogelijk te updaten naar de meest recente versie. Op dit moment is dat versie 3.6.2.

Verder lezen

Kwetsbaarheid in Google Site Kit plugin gepatched

Google Site Kit plugin

Eind april ontdekte Wordfence een ernstige kwetsbaarheid in Google’s Site Kit plugin voor WordPress. Inmiddels heeft Google een update met patch uitgebracht. Gebruikers van de Google Site Kit plugin krijgen dan ook het advies om onmiddellijk te updaten naar de meest recente versie.

Verder lezen

De beste security plugins voor WordPress in 2020

security plugins voor WordPress

We hebben al eens eerder een overzicht gemaakt van de beste security plugins voor WordPress, maar dat is alweer een aantal jaar geleden. Inmiddels zijn een aantal van de plugins uit die lijst niet meer up-to-date, van WordPress.org verwijderd of niet meer actief onderhouden. Tijd voor een nieuwe lijst dus! Dit zijn de beste security plugins voor WordPress in 2020.

Verder lezen

Zeker 11 plugins misbruikt voor hackcampagne

plugins misbruikt

Kwetsbaarheden in ten minste 11 WordPress plugins worden momenteel misbruikt voor een hackcampagne. Het lijkt te gaan om een groep van hackers. De aanvallen begonnen vorige maand al, echter leek de groep twee weken terug hun tactiek te veranderen. Dat meldde Mikey Veenstra in een blogpost op de website van WordFence. Verder lezen

WordPress Security Team wil minder beveiligingsupdates voor oude WP versies

Minder beveiligingsupdates

Het WordPress Security Team is bezig met het verkennen van de mogelijkheden om het aantal beveiligingsupdates voor oudere WordPress versies terug te brengen. Met elke groter versie die wordt uitgebracht, gaat er meer tijd zitten in het ondersteunen van oudere versies tot 3.7. Dat is de update die automatische achtergrond updates introduceerde.

Verder lezen

Kwetsbaarheden in 2 populaire Facebook WordPress plugins?

facebook wordpress plugins

Een WordPress security onderzoeker van PluginVulnerabilities.com claimt dat hij kwetsbaarheden heeft aangetroffen in twee Facebook WordPress plugins. Het gaat om Facebook for WooCommerce en Messenger Customer Chat. De onderzoeker heeft de kwetsbaarheden afgelopen maandag openbaar gemaakt zonder de auteur op de hoogte te stellen, naar eigen zeggen “uit protest tegen de moderators op het WordPress Support Forum.”

Verder lezen

Dringend update advies voor 2 WooCommerce plugins

dringend update advies

WooCommerce webshops krijgen een dringend update advies voor hun plugins. Volgens Security.nl zijn er namelijk twee WooCommerce plugins die kwetsbaarheden bevatten. Het gaat om WooCommerce Checkout Manager en WooCommerce User Email Verification.

Verder lezen

Beveiligingsprovider verspreidde opzettelijk info over zero-day kwetsbaarheden in plugins

zero-day kwetsbaarheden

De afgelopen drie weken zijn er in totaal zo’n 160.000 websites blootgesteld aan zero-day kwetsbaarheden in een aantal WordPress plugins. Het ging om Social Warfare, Easy WP SMTP, de Yuzo plugin en de Yellow Pencil plugin. De kwetsbaarheden stelden kwaadwillenden in staat om bezoekers van websites die een van deze plugins gebruikten, door te sturen naar malafide websites. Nu blijkt dat de informatie over de zero-day kwetsbaarheden opzettelijk werd verspreid voordat de ontwikkelaars de kans kregen om een patch beschikbaar te stellen. En wel door iemand die zich een ‘beveiligingsprovider’ noemt. Dat meldde Ars Technica deze week.

Verder lezen

Yuzo plugin bevat zero day lek

yuzo plugin

Meerdere WordPress websites worden momenteel actief aangevallen via een zero day lek in de Yuzo Related Posts plugin. In de ergste gevallen kan de kwetsbaarheid ervoor zorgen dat kwaadwillenden de betreffende website volledig over kunnen nemen. Dat meldt Security.nl.

Verder lezen

Pipdig P3 plugin bevat nog steeds Kill Switch na update

Pipdig P3 plugin

Pipdig, een klein bedrijfje dat zich specialiseert in commerciële thema’s, is afgelopen weekend het middelpunt van een schandaal geworden. Er kwamen meerdere berichten naar buiten waaruit bleek dat de Pipdig Power Pack plugin, ook wel Pipdig P3 plugin genoemd, gebruik zou maken van onethische codes. Zo zou er onder andere een Kill Switch in de plugin zijn ingebouwd waarmee Pipdig WordPress sites die de plugin draaien op afstand kan uitschakelen. Pipdig heeft inmiddels een update uitgerold, maar de problemen lijken nog steeds niet allemaal verholpen te zijn.

Verder lezen

Freemius herstelt ernstige kwetsbaarheid in bibliotheek gebruikt door populaire plugins

freemius

Freemius, een analytics- en marketingbibliotheek voor ontwikkelaars van WordPress plugins en thema’s, heeft afgelopen week een kwetsbaarheid gepatched. De bibliotheek wordt aangeboden voor veel populaire plugins, zoals NextGEN Gallery (1,000,000+ installaties), 404 – 301 (100,000+ installaties), WP Security Audit Log (80,000+ installaties) en FooGallery (100,000+ installaties). Freemius CEO Vova Feldman zei dat hij het zou classificeren als “een ernstige kwetsbaarheid.”

Verder lezen

Bootstrap verhelpt XSS kwetsbaarheid in versies 4.3.1 en 3.4.1

bootstrap xss kwetsbaarheid

Bootstrap heeft versies 4.3.1 en 3.4.1 uitgerold om een XSS kwetsbaarheid (CVE-2019-8331) te patchen. De kwetsbaarheid werd door een ontwikkelaar gerapporteerd aan het Bootstrap Drupal project en vervolgens gemeld bij het Bootstrap ontwikkelingsteam, die ermee aan de slag gingen.

Verder lezen

Zero-day kwetsbaarheid in Total Donations plugin

total donations

WordPress gebruikers die de premium plugin Total Donations gebruiken, worden dringend verzocht deze zo snel mogelijk deactiveren en verwijderen. Mikey Veenstra, threat analyst bij Wordfence, plaatste afgelopen vrijdag een waarschuwing op de Wordfence website.

Verder lezen

WordPress sites gehackt via lek in GDPR Compliance plugin

GDPR Compliance

Een onbekend aantal WordPress-sites is gehackt via een kwetsbaarheid in de GDPR Compliance plugin. Dat heeft security bedrijf Wordfence afgelopen week laten weten. De plugin, die ontwikkeld werd door het in Amsterdam gevestigde WordPress bureau Van Ons, helpt eigenaren van een WordPress webshop of website bij het naleven van de AVG (de nieuwe Europese privacywetgeving).

Verder lezen

Spambot mikt op WordPress sites tijdens World Cup

World Cup

Onderzoekers van security bedrijf Imperva hebben een nieuwe comment spam campagne ontdekt die de populariteit van de World Cup gebruikte om mensen op links te laten klikken die hen naar verdachte gokwebsites bracht. De campagne, die zich voornamelijk op WordPress sites leek te richten, was gelanceerd door een botnet en geïmplementeerd in de vorm van comment spam. Ondanks het feit dat dit een heel oude hacker-methode is, wordt het nog altijd met grote regelmaat toegepast.

Verder lezen

WordPress malware BabaYaga kan andere malware verwijderen en sites updaten

babayaga

Onderzoekers hebben vorige week malware voor WordPress ontdekt die behoorlijk slimme zelfbehoud technieken toepast. De malware, die BabaYaga wordt genoemd, is namelijk in staat om andere malware te verwijderen en de betreffende WordPress sites te updaten. Dat blijkt uit een 26-pagina’s tellend rapport van securitybedrijf Defiant, eerder bekend als WordFence.

Verder lezen

33% van de top WordPress sites loopt minimaal 2 WordPress versies achter

wordpress versies beveiligen van je wordpress webshop scannen op kwetsbaarheden

Je weet waarschijnlijk wel dat het heel belangrijk is om behalve WordPress plugins en thema’s ook de WordPress core up-to-date te houden. Maar uit een recent onderzoek van Rapid Web Services blijkt dat maar liefst 33% van de Quantcast top 10.000 WordPress sites minimaal 2 WordPress versies achter loopt.

Verder lezen

10 WordPress plugin tips om hackers te slim af te zijn

wordpress plugin tips

In onze vorige blogpost kon je lezen hoe hackers gebruik maken van neppe WordPress plugins om WordPress sites te infecteren en/of gevoelige informatie te stelen. Vandaag geven we een aantal handige WordPress plugin tips waarmee je kunt voorkomen dat dit jou gebeurt!

Verder lezen