Artikel top billede

(Foto: Kiyoshi Takahase / iStockphoto)

Kritisk sårbarhed i Wordpress-modul: Hackere kan stjæle din konto via kommentarfeltet

En kritisk sårbarhed i et meget populært Wordpress-plugin gør det muligt at køre skadelig kode via kommentarfeltet. Se her, hvordan hackerne gør. Og hvordan du kan forhindre det.

Det er tid til at opdatere Jetpack, hvis du har en Wordpress-side.

En sårbarhed i indstiksprogrammet gør det nemlig muligt for hackere at angribe dig og dine besøgende via kommentarfeltet.

Jetpack er et plugin fra Automattic, firmaet bag Wordpress, og det giver websiden en række ekstrafunktioner.

Siden lanceringen er Jetpack blevet hentet mere end 25 millioner gange, og man regner med, at der i dag er over en million aktive installationer.

I alle versioner fra 2.0, der blev frigivet i 2012, findes en alvorlig xss-sårbarhed, rapporterer sikkerhedsfirmaet Sucuri nu i en advarsel.

"Sårbarheden kan nemt udnyttes via Wordpress-kommentarfeltet, og vi anbefaler alle at opdatere med det samme," skriver Marc-Alexandre Montpas, der er sikkerhedsforsker i firmaet.

Funktion til billeder og sociale medier

Problemet ligger i Shortcode Embeds Jetpack-modulet en funktion, som lader brugerne anvende eksterne videoer, billeder eller indlæg fra sociale medier i sine kommentarer.

Desværre kan funktionen også anvendes til at placerer valgfri Javascript-kode i feltet - kode som en besøgende browser kører automatisk.

En angriber kan drage nytte af den situation til at stjæle Wordpress-konti eller sende den besøgende til en ondsindet webside. Det er også en mulighed, at gemme SEO-spam i kommentarfeltet.

Sider, der ikke har Shortcode Embeds Jetpack aktiveret, bliver naturligvis ikke påvirket, men i standardindstillingen er funktionen slået til.

For sider med en berørt Jetpack-version er der to løsninger på problemet.

Opdater til version 4.03 eller nyere. Det er også muligt at punktopdatere, hvis du af en eller anden grun ikke ønsker, at opdatere hele indstiksprogrammet.

Udviklerne har frigivet sikkerhedsrettelser til 21 ældre versioner. Dem kan du finde her, hvor der også er en vejledning.

Læs også:
Gratis kryptering på vej til en million hjemmesider

WordPress CMS-system står nu bag hver fjerde hjemmeside i verden

Joomla og Wordpress under angreb: Rammes af ransomware




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere