WordPress

Kompromitterede WordPress-sider sender de besøgende til fup-support

Tusindvis af WordPress-websider er, ifølge et sikkerhedsfirma, blevet kompromitteret og injiceret med ondsindet-kode, der videresender brugeren til falske support-sider.

Sikkerhedsforsker, Jérôme Segura, fra virksomheden Malwarebytes beretter, at angrebene begyndte i starten af september og udnytter svagheder i sårbare indstiksmoduler.

WordPress er et indholdsstyringssystem, også kaldet et CMS, til håndtering af web-indhold.

Den ondsindede kode lægges enten i WordPress’ database eller i HTML-headeren, fortælle han. 

Dansk
Keywords: 

WordPress udgiver sikkerhedsopdateringer

En ny version af open source-programmet WordPress har set dagens lys.

Der er tale om en sikkerheds- og vedligeholdelsesopdatering, der bringer det populære CMS op på version 4.9.7.

Der lukkes svagheder i CMS-koden, der kan udnyttes af it-kriminelle.

WordPress er et meget populært CMS, der lægger fundamentet for op mod 75 millioner websider, hvilket betyder, at rigtig mange nu skal i gang med at opdatere systemerne.

 

Anbefaling:

Opdater med den nyeste version fra producenten.

Dansk
Keywords: 

Fejl i WordPress stopper automatisk opdatering

WordPress har udsendt version 4.9.4. Den retter en fejl i version 4.9.3, som blev udsendt for nylig.

Fejlen gør, at automatisk opdatering af WordPress ikke længere fungerer.

Derfor er det nødvendigt at opdatere manuelt til 4.9.4, hvis man har opdateret til 4.9.3.

Anbefaling

Opdater manuelt til WordPress 4.9.4 via Dashboard->Updates, fra kommandolinjen med WP-CLI eller PHP, eller via FTP.

Dansk

WordPress lukker et sikkerhedshul

Udviklerne af WordPress har lukket et sikkerhedshul i biblioteket MediaElement 4.

Sårbarheden ligger i en Flash-baseret funktion i MediaElement. De fleste brugere kan klare sig uden, så derfor er den fjernet fra standardinstallationen af WordPress.

Hvis man har brug for den Flash-baserede udgave, kan man hente en opdateret version som et plugin.

Fejlen er rettet i WordPress 4.9.2.

Anbefaling

Opdater WordPress.

Dansk

300.000 WordPress-websteder har Captcha-plugin med bagdør

Captcha er navnet på pluginnen, der er installeret på over 300.000 websteder med WordPress. Ifølge sikkerhedsfirmaet Wordfence indeholder den seneste version en bagdør.

Pluginnen skiftede ejer i september. Den nye ejer, firmaet Simplywordpress, udsendte i begyndelsen af december version 4.3.7. Den indeholder bagdøren.

WordPress' sikkerhedsteam har udviklet en version af Captcha uden bagdøren, version 4.4.5, som de har installeret på sårbare websteder. De oplyser, at over 100.000 websteder har fået den rensede version installeret.

Dansk

WordPress lukker fire huller

Ifølge udviklerne af WordPress kan fire sikkerhedshuller bruges som led i et angreb, der kombinerer flere angrebsmuligheder. De er lukket med version 4.9.1.

En af sårbarhederne består i, at der ikke anvendes en hashfunktion til at beskytte nøglen "newbloguser". Det gør der nu.

Anbefaling

Opdater til WordPress 4.9.1.

Links

Dansk

WordPress lukker alvorligt sikkerhedshul

En sårbarhed i WordPress kan føre til SQL-indsætning. Fejlen ligger i funktionen $wpdb->prepare().

Selve WordPress er ikke direkte sårbar, men plugins og temaer kan være det.

Sårbarheden er en variant af en sårbarhed, som udviklerne forsøgte at fjerne med WordPress 4.8.2. Men sikkerhedsforsker Anthony Ferrara opdagede, at rettelsen ikke var effektiv.

Dansk

Tre plugins til WordPress lukker alvorlige huller

Sikkerhedsfirmaet Wordfence opdagede sårbarhederne, da det undersøgte firmaer, hvis WordPress-installationer blev hacket. Det viste sig, at alle de tre plugins havde en sårbarhed, der lod en angriber placere en fil på dem.

Dermed kunne hackeren udarbejde en fil, der gav fuld adgang til webstedet, og placere den et sted, hvor den kunne afvikles.

Sårbarheden er fjernet i følgende versioner:

Dansk

WordPress lukker ni sikkerhedshuller

Den nye version 4.8.2 fra WordPress retter ni sårbarheder. En af dem ligger i funktionen $wpdb->prepare(), der kan danne usikre forespørgsler, som kan føre til SQL-indsætning. Selve WordPress-kernen er ikke ramt af SQL-indsætning, men plugins og temaer der anvender funktionen, kan blive ramt.

Fem af de øvrige sårbarheder er af typen cross-site scripting.

Hvis man har slået automatisk opdatering til, vil ens WordPress automatisk blive opdateret inden for et døgn.

Anbefaling

Slå automatisk opdatering til eller opdater manuelt.

Dansk

Display Widgets-plugin viser uønskede reklamer på WordPress-websteder

Pluginnen Display Widgets til WordPress er blevet hentet over 200.000 gange. Udvikleren solgte den i juni til en ny ejer, som udsendte version 2.6.0 af den.

En konsulent opdagede, at den nye version hentede programkode fra en ekstern server. Det førte til, at pluginnen blev fjernet fra WordPress' samling af plugins.

Den nye ejer lagde imidlertid en ny version op, 2.6.1. Den gav bagmanden mulighed for at lægge indhold ind på alle websider, der havde installeret pluginnen. Han udnyttede bagdøren til at vise reklamer.

Dansk

Sider

Abonnér på RSS - WordPress