Artikel top billede

(Foto: scyther5 / scyther5)

Sikkerhedsfolk slår alarm: Sårbare CMS-plugins kan blive udnyttet til angreb i de kommende dage

Sårbare e-handels-plugins til Wordpress risikerer at blive udnyttet til angreb i de kommende dage, hvor der vil blive handlet ekstra store beløb på nettet på grund af Black Friday. Mange tusinde websider er i farezonen.

Open source CMS'et Wordpress er platform for millioner af hjemmesider verden over, og det menes, at Wordpress i dag driver hver fjerde hjemmeside på internettet. Læs mere om det her.

Men trods populariteten har Wordpress aldrig været nogen sikkerheds-duks, og nu er den gal igen.

Denne gang er det plugins, der er årsagen til balladen.

Sikkerhedsfirmaet Checkmark skriver i en rapport (PDF), at mange tusinde Wordpress-sider er i risiko for at blive angrebet her op til Black Friday og Cyber Monday - to af årets helt store handelsdage på internettet.

Det skyldes nogle af de plugins, der anvendes til e-handels-løsningerne. Alt for mange Wordpress-plugins er nemlig guf for de it-kriminelle.

Fandt alvorlige sårbarheder

Checkmark har i november undersøgt 12 forskellige plugins til e-handel på Wordpress-sider og har scannet dem for alvorlige sårbarheder.

"Ud af de 12 plugins, vi scanner, har vi opfanget high-risk-sårbarheder i mindst fire af dem," skriver Checkmark."

"Sikkerheds-tilstanden hos de scannede plugins er alarmerende, men da vi vil sikre, at organisationerne bag disse plugins har tid nok til at udbedre de fundne sårbarheder, vil detaljerne forblive anonyme for at holde vores resultater i overensstemmelse med ansvarlige offentliggørelser."

Sikkerhedsfirmaet oplyser blandt andet, at et af de undersøgte plugins indeholder tre sårbarheder, mens de øvrige tre plugins har en sårbarhed hver.

"Hvis de sårbarheder, vi har fundet indtil nu, blev udnyttet, ville brugerne på over 135.000 websider kunne opleve, at deres personlige data var truet af ondsindede parter eller cyberkriminelle."

"Mens de fleste af disse plugins opdateres med jævne mellemrum, kan vi ikke kommentere, om der findes patch-versioner, før vi har underrettet organisationerne bag disse plugins om, at de har en mulig åben dør for angreb."

Selve Wordpress har også problemer

Samtidig med denne type sårbarheder i Wordpress, advares der i disse dage fra flere sider også om, at Wordpress' opdateringsmekanismer ikke er sikre.

DK-Cert skriver i en orientering, at der er fundet sikkerhedshuller i den måde, WordPress opdaterer installationer på.

"Den grundlæggende sårbarhed består i, at opdateringerne ikke er signeret."

"Hvis en angriber kan få adgang til de centrale opdateringsservere og placere sine egne filer på den, kan vedkommende sprede skadelige filer til tusindvis af WordPress-baserede websteder," oplyser DK-Cert.

Læs også:

Heftig diskussion om open source-kode: App-firma anklages for rip-off og kode-tyveri

WordPress CMS-system står nu bag hver fjerde hjemmeside i verden

Joomla og Wordpress under angreb: Rammes af ransomware




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere