Honderden kwetsbaarheden in WordPress-plug-ins nog altijd zonder update

[Captain Kirk]

Dit jaar zijn er al 2500 kwetsbaarheden in plug-ins voor WordPress gerapporteerd, maar voor honderden van deze beveiligingslekken zijn nog geen updates beschikbaar gemaakt. Dat meldt securitybedrijf Wordfence. Volgens cijfers van W3Techs draait 43,2 procent van alle websites op WordPress. Voor het platform is een groot aantal plug-ins en themes beschikbaar die door externe ontwikkelaars worden ontwikkeld.

Veel van de kwetsbaarheden waar WordPress-sites mee te maken hebben bevinden zich in deze plug-ins. Zo werden dit jaar pas zes kwetsbaarheden in WordPress zelf gerapporteerd, tegenover 2500 in de verschillende plug-ins voor het platform. In de meeste gevallen gaat het om cross-site scripting waarmee een aanvaller in het ergste geval cookies van de beheerder kan stelen om zo de website over te nemen.

Verder blijkt uit de cijfers van Wordfence dat de meeste kwetsbaarheden, zo'n tweeduizend, een medium impact hebben. Wat niet meevalt is het aantal beveiligingslekken dat nog op een update wacht. Van de 2500 gerapporteerde kwetsbaarheden in plug-ins zijn er 678 niet door de ontwikkelaar verholpen. Dat komt neer op meer dan een kwart van de bekende beveiligingslekken.

Het gaat in dit geval om plug-ins die niet of nauwelijks meer worden ondersteund door de ontwikkelaar. WordPress verwijdert deze plug-ins vaak uit de eigen repository, zodat die niet meer door andere websites zijn te downloaden. Daarmee wordt echter niet het probleem verholpen voor websites die de betreffende plug-ins al hebben geïnstalleerd. Wordfence adviseert beheerders dan ook om dergelijke plug-ins te verwijderen voordat aanvallers er misbruik van maken.

 

bron: https://www.security.nl