Kwetsbaarheid

Status
Niet open voor verdere reacties.
femke98

femke98

Meubilair
Lid geworden
16 dec 2006
Berichten
6.862
Kreeg van Antagonist mail dat ze op mijn pakket een XSS-kwetsbaarheid in WordPress hadden ontdekt.
Nu is dit geregeld door hun en als ik alles nu up-to-date heb, dan is er verder niets aan de hand.
Maar ik vraag mij af hoe het komt? Heb toch beveiliging (defender) en Anti-hack als plugin.

Hieronder wat ze o.a. schreven. Pakketnummer en domeinen weggehaald.:

Deze kwetsbaarheden ontstaan vaker in WordPress, Joomla of Drupal. Antagonist gebruikt daarom Patchman. Dit is een beveiligingssysteem dat je website tegen kwetsbaarheden beschermt. Net zoals een virusscanner je computer beveiligt tegen virussen. Wel zo prettig!

Kun je zelf nog iets doen?

Controleer voor de zekerheid of je de laatste versie van je CMS draait.
Zo niet, update dan je CMS, plugins en themes naar de laatste versie.
Heb je dit al gedaan en is je CMS up-to-date? Top, er is dan geen verdere actie vereist.

Mocht er iets onduidelijk zijn, laat het ons dan gerust weten. We helpen je graag verder.
Hieronder vind je de lijst met opgeloste kwetsbaarheden.
Kijk voor meer informatie in DirectAdmin van je webhostingpakket bij 'Patchman' (onder 'Extra functies').
XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/customize/class-wp-customize-site-icon-control.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/customize/class-wp-customize-site-icon-control.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/media-template.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/media-template.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/blocks/legacy-widget.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/blocks/legacy-widget.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxxx.nl/public_html/wp-includes/blocks/widget-group.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxxx.nl/public_html/wp-includes/blocks/widget-group.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxxx.nl/public_html/wp-includes/blocks/navigation.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/blocks/navigation.php

Open redirect-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/functions.php

Open redirect-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/functions.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/comment.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/comment.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/blocks/rss.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/blocks/rss.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/blocks/post-featured-image.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxxx.nl/public_html/wp-includes/blocks/post-featured-image.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/blocks/post-featured-image.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/blocks/post-featured-image.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxxx.nl/public_html/wp-includes/widgets.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/widgets.php

Datalek-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/rest-api/endpoints/class-wp-rest-terms-controller.php

Datalek-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxx.nl/public_html/wp-includes/rest-api/endpoints/class-wp-rest-terms-controller.php

XSS-kwetsbaarheid in WordPress
/home/xxxxx/domains/xxxxxx.nl/public_html/wp-includes/blocks/search.php
Klik om te vergroten...
 
Net als elk ander cms is ook WP gevoelig voor XSS attacks.
Zie deze lijst waarin veel xss bugs in de loop der tijd zijn opgelost.

Een plugin voor beveiliging doet hier niets aan omdat het code van de WP core, theme of plugin is. In het algemeen zijn plugins het meest gevoelig voor XSS aanvallen. En omdat WP een groot marktaandeel heeft is WP interessant voor hackers, daarom WP altijd updaten en beveiliging op orde hebben. Je kan ook e.e.a. in .htaccess regelen, daarvoor zijn diverse voorbeelden, even googelen ;)

Update: leef je uit Prevent Hacking Without Plugins
Doe altijd stukje voor stukje en test tussendoor de website.

Update 2: ik weet niet of </IfModule ....> telkens aan het begin mag, de syntax is
Code: 
<IfModule  ....>
   ....
</IfModule>
 
Laatst bewerkt:
@off topic

Voor degene die altijd over MS klaagt :d

Totaal aantal verschillende kwetsbaarheden per product (gemiddeld)
Bron: cvedetails.com

Debian 66
Google 55
Apple 41
Microsoft 13
Redhat 10
Oracle 9
IBM 4
 
Laatst bewerkt:
De IfModule hoeft niet bij elke tip ervoor en er achter. Ik heb nu ook dingen in de .htaccess staan die dat niet hebben.
Alleen wat ik niet begrijp is of je na alles of wat je wilt en getest hebt, disabling .htaccess moet doen.

By disabling .htaccess, you improve the overall security and performance of your Apache server. If you are on a shared hosting, you do not have the ability to disable it, with that, you’ll have to harden your wordpress security by using a few codes. A quick summary.
Klik om te vergroten...

Ik lees hieruit dat als je de .htaccess zelf niet kan disabelen, je de lijst kan afwerken. Hoe zie jij dit Bron (of anderen?).

ps. Bedankt voor deze nuttige en leerzame bijdrage.
 
Rename .htaccess tijdelijk naar .htaccessss ofzo.
 
De <IfModule> hoeft niet bij elke tip ervoor en er achter. Ik heb nu ook dingen in de .htaccess staan die dat niet hebben.
Klik om te vergroten...
Klopt. Meestal hoeft dit niet maar soms moet er getest worden of een module aanwezig is.

Alleen wat ik niet begrijp is of je na alles of wat je wilt en getest hebt, disabling .htaccess moet doen.
Klik om te vergroten...
Ik bedoel dat .htaccess niet in 1 keer helemaal gevuld moet worden met regels. Kijk wat je al hebt in de huidige .htaccess, vul het telkens met een stukje aan. Controleer af en toe tussendoor of de website nog goed werkt. Maak wel van tevoren een kopie (ook tip van Aar)

Ik lees hieruit dat als je de .htaccess zelf niet kan disabelen
Klik om te vergroten...
Is ook niet de bedoeling want .htaccess is nodig voor een goede werking van WP

Alle aanvallen die je in .htaccess kan blocken zullen nooit bij WP aankomen!
Kort door de bocht.... des te meer beveiliging in .htaccess, des te minder in WP nodig is. Uiteraard beveilig je beide.
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan