Artikel top billede

(Foto: scyther5 / scyther5)

Sikkerhedsfolk slår alarm: Sårbare CMS-plugins kan blive udnyttet til angreb i de kommende dage

Sårbare e-handels-plugins til Wordpress risikerer at blive udnyttet til angreb i de kommende dage, hvor der vil blive handlet ekstra store beløb på nettet på grund af Black Friday. Mange tusinde websider er i farezonen.

Open source CMS'et Wordpress er platform for millioner af hjemmesider verden over, og det menes, at Wordpress i dag driver hver fjerde hjemmeside på internettet. Læs mere om det her.

Men trods populariteten har Wordpress aldrig været nogen sikkerheds-duks, og nu er den gal igen.

Denne gang er det plugins, der er årsagen til balladen.

Sikkerhedsfirmaet Checkmark skriver i en rapport (PDF), at mange tusinde Wordpress-sider er i risiko for at blive angrebet her op til Black Friday og Cyber Monday - to af årets helt store handelsdage på internettet.

Det skyldes nogle af de plugins, der anvendes til e-handels-løsningerne. Alt for mange Wordpress-plugins er nemlig guf for de it-kriminelle.

Fandt alvorlige sårbarheder

Checkmark har i november undersøgt 12 forskellige plugins til e-handel på Wordpress-sider og har scannet dem for alvorlige sårbarheder.

"Ud af de 12 plugins, vi scanner, har vi opfanget high-risk-sårbarheder i mindst fire af dem," skriver Checkmark."

"Sikkerheds-tilstanden hos de scannede plugins er alarmerende, men da vi vil sikre, at organisationerne bag disse plugins har tid nok til at udbedre de fundne sårbarheder, vil detaljerne forblive anonyme for at holde vores resultater i overensstemmelse med ansvarlige offentliggørelser."

Sikkerhedsfirmaet oplyser blandt andet, at et af de undersøgte plugins indeholder tre sårbarheder, mens de øvrige tre plugins har en sårbarhed hver.

"Hvis de sårbarheder, vi har fundet indtil nu, blev udnyttet, ville brugerne på over 135.000 websider kunne opleve, at deres personlige data var truet af ondsindede parter eller cyberkriminelle."

"Mens de fleste af disse plugins opdateres med jævne mellemrum, kan vi ikke kommentere, om der findes patch-versioner, før vi har underrettet organisationerne bag disse plugins om, at de har en mulig åben dør for angreb."

Selve Wordpress har også problemer

Samtidig med denne type sårbarheder i Wordpress, advares der i disse dage fra flere sider også om, at Wordpress' opdateringsmekanismer ikke er sikre.

DK-Cert skriver i en orientering, at der er fundet sikkerhedshuller i den måde, WordPress opdaterer installationer på.

"Den grundlæggende sårbarhed består i, at opdateringerne ikke er signeret."

"Hvis en angriber kan få adgang til de centrale opdateringsservere og placere sine egne filer på den, kan vedkommende sprede skadelige filer til tusindvis af WordPress-baserede websteder," oplyser DK-Cert.

Læs også:

Heftig diskussion om open source-kode: App-firma anklages for rip-off og kode-tyveri

WordPress CMS-system står nu bag hver fjerde hjemmeside i verden

Joomla og Wordpress under angreb: Rammes af ransomware




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
BI Excellence Day 2025

Kom og få indsigt i, hvordan du kan arbejde målrettet og struktureret med BI, så din virksomhed bliver i stand til at tage hurtige og datadrevne beslutninger, der understøtter din virksomheds strategi. Netværk og del erfaringer med ligesindede og mød eksperter, der kan give viden om de nyeste tendenser, og hvordan du gør brug af disse uden at gå på kompromis med compliance.

30. april 2025 | Læs mere


Cyber Briefing: Geopolitik og cloud

Private vs. public cloud - hybride løsninger der sikrer kritiske data. Overvejer din organisation at vende de amerikanske cloud-giganter i ryggen set i lyset af den geopolitiske situation? Vi dykker ned i en dugfrisk rapport og diskuterer mulighederne for en "Plan B".

05. maj 2025 | Læs mere


Virksomhedsplatforme i forandring: Hvordan navigerer du i den teknologiske udvikling?

Hvordan finder du balancen mellem cloud- og hybride løsninger? Hvordan integrerer du legacy-applikationer ind i dit nye ERP-setup? Hvordan undgår du at havne i statistikken over store ERP-projekter, der fejler eller overskrider budgetterne?

06. maj 2025 | Læs mere