Onlangs publiceerde WordFence uitleg over het combineren van twee plugin vulnerabilities om tot een prachtige hack te komen.
tl;dr
Gebruik de kwetsbaarheid in plugin A om een subscriber user aan te maken.
Gebruik daarna de kwetsbaarheid in plugin B om met die user malafide bestanden te uploaden om zo alle toegang te krijgen tot de website.
Lees het artikel. Of misschien beter; kijk de video.
Waarom je dit soort verrassingen niet bij de Webbouwmeester hoeft te verwachten?
Allereerst natuurlijk omdat ik je website beveilig met de WordFence firewall.
En tweedens omdat ik actief de ontwikkeling van, wat men noemt, attack vectors volg en onmiddellijk actie onderneem voor de websites die onder mijn beheer vallen zodra er zich een potentieel risico aandient.
In deze context is het ook ‘leuk’ om eens een kijkje te nemen op https://wpvulndb.com/ waar alle bekende WordPress hacks terug te vinden zijn.
Tot slot nog een woordje over Responsible disclosure. Dat is het gebruik om security issues niet eerder openbaar te maken dan nadat de verantwoordelijke partij de gelegenheid heeft gehad om het lek te herstellen. Anders maken we het hackers wel heel eenvoudig om in geconstateerde gaten te duiken!
Mocht je zelf eens tegen een verdachte situatie aanlopen, neemt dan altijd prive contact op met de maker van de software en plaats zeker geen waarschuwingen op Twitter of Facebook!
Je mag ook altijd mij waarschuwen; dan neem ik de afhandeling voor mijn rekening.