WordPress-plug-ins geplaagd door cross-site scripting en SQL Injection

In dit artikel:

Cybersecuritybedrijf Wordfence ontdekte in het eerste kwartaal van dit jaar 2.738 kwetsbaarheden in WordPress‑plug-ins, een stijging van ongeveer 24% ten opzichte van het voorgaande kwartaal. De zwakke plekken variëren van ontbrekende autorisatie en cross‑site scripting tot remote file inclusion en SQL‑injectie. Wordfence meldde de problemen aan ontwikkelaars, maar eind Q1 waren nog 747 lekken onopgelost; 13% van de kwetsbaarheden zat in plug‑ins die niet meer onderhouden worden.

Aanvallers misbruikten veel van die gaten om beheerdersaccounts aan te maken en zo sites over te nemen — een veelvuldig uitgevoerde exploit trof onder andere de plug‑in SureTriggers. Wat betreft aanvalsmethoden stond SQL‑injectie bovenaan, gevolgd door path traversal en XSS. Aangezien meer dan 40% van alle websites op WordPress draait, onderstreept dit onderzoek het belang voor sitebeheerders om plug‑ins en themes actueel te houden of ongebruikte/onondersteunde extensies te verwijderen.