Hackere udnytter sårbarhed i WordPress plug-in

Illustration: Virrage Images/Bigstock
Den populære slider-funktion til mobile platforme skaber sårbarheder i uopdaterede WordPress themes

Har du en WordPress-side med et færdig theme, er det måske værd at læse videre, hvis du vil lukke et par medfødte sårbarheder på din hjemmeside eller blog. Med et specielt plug-in, der er inkluderet i mange themes, kan du nemlig uforvarende være kommet til at åbne porten for hackere.

Det skriver Networkworld.com.

Selve Slider Revollution plug-in'et fra ThemePunch er godt nok. Men når plug-in'et - der lader indholdet på din WordPress slide på mobil- og tabletversioner - bliver installeret som en del af et af de mange WordPress themes, åbner det et sikkerhedshul, hvis ikke det bliver opdateret. Slider Revolutions automatiske opdatering går nemlig ofte fløjten, når funktionen sammen med mange andre bliver lagt ind i et af de mange themes, der styrer udseende og funktioner på WordPress-siderne.

Læs også: Hackersagen: Anklager nægter at forholde sig til flere brugere på mistænktes computer.

I februar kom Slider Revolution i en version 4.2, der angiveligt løste problemet med sårbarhed, men version 4.1.4 og tidligere - som stadig indgår i mange themes - er stadig sårbare, og som før nævnt, opdaterer de ikke nødvendigvis automatisk, når de indgår i et theme. Kun hvis udvikleren bag det enkelte theme selv tager affære og det sker i mange tilfælde ikke, ifølge Networkworld.com

I værste tilfælde kan hackere gennem ovenstående plug-in komme ind i den centrale wp-config.php-fil, der bruges til at redigere indhold og udseende på WordPress-siden.

Ifølge Networkworld.com har fænomenet i en længere periode været beskrevet i rygteform på nettet, men 1. september kunne Trustwave - et IT-sikkerhedsselskab - i et blog-indlæg offentliggøre en log, der dokumenterer sårbarheden i Slider Revolution.

ThemePunch, der hævder at have opdateret alt fra sin side, opforderer folk, der bruger deres plug-in i deres themes eller andre softwareprodukter til at gennemgå sikkerheden en ekstra gang.

Sidste opdatering af Slider Revolution var 25. august til version 4.6. Ovennævnte sårbarhed gælder som før nævnt kun frem til version 4.2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Tørnes Hansen

Er det kun mig der er træt sikkerhedshuller i CMS systemer, og derfor overvejer at skifte til brug af en statisk web site generator?

Pt. har jeg et særdeles godt kig på Hugo - et Go program, der som ekstra bonus også generer websitet meget hurtigt.

Hugo:

  • 3
  • 0
Log ind eller Opret konto for at kommentere