Artikel top billede

Sikkerhedsfolk slår alarm: Sårbare CMS-plugins kan blive udnyttet til angreb i de kommende dage

Sårbare e-handels-plugins til Wordpress risikerer at blive udnyttet til angreb i de kommende dage, hvor der vil blive handlet ekstra store beløb på nettet på grund af Black Friday. Mange tusinde websider er i farezonen.

Open source CMS'et Wordpress er platform for millioner af hjemmesider verden over, og det menes, at Wordpress i dag driver hver fjerde hjemmeside på internettet. Læs mere om det her.

Men trods populariteten har Wordpress aldrig været nogen sikkerheds-duks, og nu er den gal igen.

Denne gang er det plugins, der er årsagen til balladen.

Sikkerhedsfirmaet Checkmark skriver i en rapport (PDF), at mange tusinde Wordpress-sider er i risiko for at blive angrebet her op til Black Friday og Cyber Monday - to af årets helt store handelsdage på internettet.

Det skyldes nogle af de plugins, der anvendes til e-handels-løsningerne. Alt for mange Wordpress-plugins er nemlig guf for de it-kriminelle.

Fandt alvorlige sårbarheder

Checkmark har i november undersøgt 12 forskellige plugins til e-handel på Wordpress-sider og har scannet dem for alvorlige sårbarheder.

"Ud af de 12 plugins, vi scanner, har vi opfanget high-risk-sårbarheder i mindst fire af dem," skriver Checkmark."

"Sikkerheds-tilstanden hos de scannede plugins er alarmerende, men da vi vil sikre, at organisationerne bag disse plugins har tid nok til at udbedre de fundne sårbarheder, vil detaljerne forblive anonyme for at holde vores resultater i overensstemmelse med ansvarlige offentliggørelser."

Sikkerhedsfirmaet oplyser blandt andet, at et af de undersøgte plugins indeholder tre sårbarheder, mens de øvrige tre plugins har en sårbarhed hver.

"Hvis de sårbarheder, vi har fundet indtil nu, blev udnyttet, ville brugerne på over 135.000 websider kunne opleve, at deres personlige data var truet af ondsindede parter eller cyberkriminelle."

"Mens de fleste af disse plugins opdateres med jævne mellemrum, kan vi ikke kommentere, om der findes patch-versioner, før vi har underrettet organisationerne bag disse plugins om, at de har en mulig åben dør for angreb."

Selve Wordpress har også problemer

Samtidig med denne type sårbarheder i Wordpress, advares der i disse dage fra flere sider også om, at Wordpress' opdateringsmekanismer ikke er sikre.

DK-Cert skriver i en orientering, at der er fundet sikkerhedshuller i den måde, WordPress opdaterer installationer på.

"Den grundlæggende sårbarhed består i, at opdateringerne ikke er signeret."

"Hvis en angriber kan få adgang til de centrale opdateringsservere og placere sine egne filer på den, kan vedkommende sprede skadelige filer til tusindvis af WordPress-baserede websteder," oplyser DK-Cert.

Læs også:

Heftig diskussion om open source-kode: App-firma anklages for rip-off og kode-tyveri

WordPress CMS-system står nu bag hver fjerde hjemmeside i verden

Joomla og Wordpress under angreb: Rammes af ransomware




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


Sats på DevOps og få mere kvalitet og hastighed i både udvikling og drift

Der er mange potentielle gevinster at hente ved at satse på DevOps. Rigtig mange danske virksomheder er allerede i gang. På denne konference får du et indblik i mulighederne med DevOps og gode råd, der kan sikre dig succesen.

02. november 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere