Openingstijden

Ma-Vrij: 09:00-17:00

085 902 67 00

info@flexamedia.nl

M

Diensten

WordPress implementeert beveiligingsupdate voor Loginizer

WordPress implementeert gedwongen beveiligingsupdate voor gevaarlijke bug in populaire plug-in Het WordPress-beveiligingsteam heeft vorige week een zeldzame stap gezet en een minder bekende interne mogelijkheid gebruikt om met geweld een beveiligingsupdate voor een populaire plug-in te pushen. WordPress-sites met de Loginizer-plug-in zijn deze week geforceerd bijgewerkt naar Loginizer 1.6.4.Deze versie bevatte een beveiligings fix voor […] Lees verder

WordPress implementeert beveiligingsupdate voor Loginizer

WordPress implementeert gedwongen beveiligingsupdate voor gevaarlijke bug in populaire plug-in

Het WordPress-beveiligingsteam heeft vorige week een zeldzame stap gezet en een minder bekende interne mogelijkheid gebruikt om met geweld een beveiligingsupdate voor een populaire plug-in te pushen.

WordPress-sites met de Loginizer-plug-in zijn deze week geforceerd bijgewerkt naar Loginizer 1.6.4.Deze versie bevatte een beveiligings fix voor een gevaarlijke SQL-injectiefout waardoor hackers WordPress-sites met oudere versies van de Loginizer-plug-in konden overnemen.

Loginizer is een van de meest populaire WordPress-plug-ins van dit moment, met een installatiebasis van meer dan een miljoen sites.

WordPress implementeert beveiligingsupdate voor Loginizer

De plug-in biedt beveiligingsverbeteringen voor de WordPress-inlogpagina. Volgens de officiële beschrijving kan Loginizer IP-adressen op de zwarte of witte lijst zetten voor toegang tot de WordPress-inlogpagina, ondersteuning voor tweefactorauthenticatie toevoegen of eenvoudige CAPTCHA’s toevoegen om geautomatiseerde inlogpogingen te blokkeren, naast vele andere functies.

SQL-INJECTIE ONTDEKT IN LOGINIZER

Deze week onthulde beveiligingsonderzoeker Slavco Mihajloski een ernstige kwetsbaarheid in de Loginizer-plug-in. Volgens een beschrijving van de WPScan WordPress-kwetsbaarheidsdatabase, zit de beveiligingsbug in het brute-force-beschermingsmechanisme van Loginizer, dat standaard is ingeschakeld voor alle sites waarop Loginizer is geïnstalleerd.

Om deze bug te misbruiken, kan een aanvaller proberen in te loggen op een WordPress-site met een verkeerd opgemaakte WordPress-gebruikersnaam waarin hij SQL-instructies kan opnemen. Wanneer de authenticatie mislukt, registreert de Loginizer-plug-in deze mislukte poging in de database van de WordPress-site, samen met de mislukte gebruikersnaam.

Maar zoals Slavco en WPScan uitleggen, zuivert de plug-in de gebruikersnaam niet en laat de SQL-instructies intact, waardoor externe aanvallers code kunnen uitvoeren tegen de WordPress-database – in wat beveiligingsonderzoekers een niet-geverifieerde SQL-injectie-aanval noemen.

Het stelt elke niet-geverifieerde aanvaller in staat om een ​​WordPress-website volledig in gevaar te brengen”, vertelde Ryan Dewhurst, oprichter en CEO van WPScan, vandaag in een e-mail aan ZDNet.

“Hierdoor kan iedereen met een aantal elementaire commandoregelvaardigheden een WordPress-website volledig in gevaar brengen”, aldus beveiligingsonderzoeker Dewhurst.

GEFORCEERDE PLUGIN-UPDATE ONTVANGT PUBLIEKE BACKLASH

De bug is een van de ergste beveiligingsproblemen die de afgelopen jaren in WordPress-plug-ins zijn ontdekt, en daarom lijkt het WordPress-beveiligingsteam te hebben besloten om de Loginizer 1.6.4-patch met geweld naar alle betrokken sites te pushen.

Dewhurst vertelde ZDNet dat deze “geforceerde plug-in update” -functie aanwezig is in de WordPress codebase sinds v3.7, uitgebracht in 2013; het is echter zeer zelden gebruikt.”Een kwetsbaarheid die ik zelf ontdekte in de populaire Yoast SEO WordPress-plug-in in 2015 werd gedwongen bijgewerkt. Hoewel de kwetsbaarheid die ik ontdekte lang niet zo gevaarlijk was als degene die werd ontdekt in de Loginizer WordPress-plug-in,” zei Dewhurst.

“Ik ben niet op de hoogte van andere [gevallen van gedwongen updates van plug-ins], maar het is zeer waarschijnlijk dat er andere zijn geweest”, voegde de oprichter van WPScan toe.

Maar er is een reden waarom het WordPress-beveiligingsteam deze functie niet voor alle kwetsbaarheden van plug-ins gebruikt en dit alleen voor de slechte bugs. Zodra de Loginizer 1.6.4-patch vorige week WordPress-sites bereikte, begonnen gebruikers te klagen op het plug-in forum in de WordPress.org-repository.

“Loginizer is automatisch geüpdatet van 1.6.3 naar 1.6.4, hoewel ik deze nieuwe WordPress-optie NIET had geactiveerd. Hoe is het mogelijk?”, Vroeg een ontevreden gebruiker. “Ik heb ook dezelfde vraag. Het is gebeurd op 3 websites die ik verzorg, waarvan geen enkele is ingesteld op automatisch updaten”, zei een ander.

Dewhurst is van mening dat de functie niet breder wordt gebruikt, omdat het WordPress-team de “risico’s van het doorgeven van een kapotte patch naar zoveel gebruikers” vreest.

WordPress core-ontwikkelaar Samuel Wood zei deze week dat de functie “vaak” werd gebruikt, maar gaf geen details over andere gevallen waarin deze werd gebruikt. In 2015 zei een andere WordPress-ontwikkelaar dat de geforceerde updatefunctie van de plug-in slechts vijf keer werd gebruikt sinds de lancering in 2013, wat bevestigt dat deze functie alleen wordt gebruikt voor de kritieke bugs die miljoenen sites treffen, en niet alleen voor de kwetsbaarheid van plug-ins.

WordPress onderhoud uitbesteden

Naast onze WordPress onderhoud service, kunt u bij Flexamedia ook uw website laten beveiligen. Zo bent u verzekerd van een solide beveiligings-systeem en heeft u dus geen last van eventuele cyberaanvallen van buitenaf.

Bovendien maken de meeste hackers en cybercriminelen op deze manier geen schijn van kans. Het kost hackers zo namelijk teveel tijd en moeite om überhaupt uw website binnen te dringen.

Wij verzorgen de meest professionele bescherming van uw website zodat uzelf geen zorgen meer heeft over de veiligheid van uw gegevens.

Professional

(Ideaal voor simpele website met extra rekenkracht)

€6,75

per maand

✓ WordPress installeren 1 klik
✓ 10GB SSD opslag
✓ 2VCPU 2GB RAM
✓ Onbeperkt aantal websites
✓ Telefonisch support
✓ SSL Certificaat
✓ Onbeperkt dataverkeer
✓ Onbeperkt emailadressen
✓ Onbeperkt MYSQL database
✓ Onbeperkt FTP Accounts
✓ Gratis wordpress (+300 scripts)
✓ Inclusief 30 dagen backups
✓ Eigen PHP versie kiezen
✓ Cpanel

WordPress implementeert beveiligingsupdate voor Loginizer
Wat is WordPress hosting?

WordPress hosting is een type webhosting dat is geoptimaliseerd voor WordPress-websites. Deze hosting biedt functies zoals automatische updates, verbeterde beveiliging en snellere laadtijden. Hierdoor kunnen gebruikers zich concentreren op het creëren van content zonder zich zorgen te maken over technische details.

Waarom zou ik kiezen voor WordPress hosting?

WordPress hosting biedt specifieke voordelen zoals geoptimaliseerde serverconfiguraties, automatische back-ups, en gespecialiseerde ondersteuning. Dit zorgt voor een soepelere werking van je WordPress-website en minder onderhoudswerk.

Hoe verhuis ik mijn bestaande website naar WordPress hosting?

Het verhuizen van je website naar WordPress hosting kan eenvoudig zijn door gebruik te maken van een migratietool of door hulp in te schakelen van je hostingprovider. Stappen zijn onder andere:

  • Back-up maken: Maak een volledige back-up van je huidige website.
  • Installeer WordPress: Installeer WordPress op je nieuwe hostingaccount.
  • Migratietool gebruiken: Gebruik een plug-in of tool om je website te verplaatsen.
  • Test je website: Controleer of alles correct werkt na de verhuizing.
  • DNS-instellingen wijzigen: Update je domeinnaaminstellingen om te verwijzen naar je nieuwe host.
Wat zijn de kosten van WordPress hosting?

De kosten van WordPress hosting variëren afhankelijk van de provider en het gekozen pakket. Meestal liggen de prijzen tussen de €5 en €30 per maand. Bij Flexamedia vind je betaalbare opties die passen bij verschillende budgetten en behoeften.

Hoe veilig is WordPress hosting?

WordPress hosting bij Flexamedia biedt verbeterde beveiligingsfuncties zoals SSL-certificaten, firewallbescherming en regelmatige beveiligingsupdates. Hierdoor blijft je website beschermd tegen bedreigingen en aanvallen.

Kan ik mijn WordPress website zelf beheren?

Ja, je kunt je WordPress website zelf beheren via het gebruiksvriendelijke WordPress-dashboard. Flexamedia biedt daarnaast ook ondersteuning en tutorials om je te helpen bij het beheren en optimaliseren van je website.

Welke plug-ins zijn essentieel voor mijn WordPress website?

Er zijn verschillende plug-ins die essentieel kunnen zijn voor je WordPress website, afhankelijk van je behoeften. Enkele aanbevolen plug-ins zijn:

  • Yoast SEO: Voor zoekmachineoptimalisatie.
  • WooCommerce: Voor het beheren van een online winkel.
  • Contact Form 7: Voor het creëren van contactformulieren.
  • Wordfence Security: Voor verbeterde websitebeveiliging.
  • UpdraftPlus: Voor het maken van back-ups van je website.
Wat moet ik doen als mijn WordPress website traag is

Als je WordPress website traag is, zijn er verschillende stappen die je kunt ondernemen om de snelheid te verbeteren:

  • Gebruik een caching plug-in: Dit kan de laadtijd aanzienlijk verbeteren.
  • Optimaliseer afbeeldingen: Zorg ervoor dat je afbeeldingen gecomprimeerd zijn voor snellere laadtijden.
  • Verminder plug-ins: Verwijder ongebruikte of inefficiënte plug-ins.
  • Kies een snelle hostingprovider: Flexamedia biedt snelle en betrouwbare hostingopties.
  • Gebruik een content delivery network (CDN): Dit kan helpen om de laadtijden te verminderen door inhoud te leveren via servers die dichter bij de gebruiker staan.
Hoe kan ik de beveiliging van mijn WordPress website verbeteren?

Het verbeteren van de beveiliging van je WordPress website is essentieel om hacks en andere bedreigingen te voorkomen. Hier zijn enkele stappen die je kunt nemen:

  • Gebruik sterke wachtwoorden: Zorg ervoor dat alle gebruikers sterke en unieke wachtwoorden hebben.
  • Update regelmatig: Houd WordPress, thema’s en plug-ins up-to-date.
  • Installeer een beveiligingsplug-in: Plug-ins zoals Wordfence kunnen extra bescherming bieden.
  • Beperk loginpogingen: Gebruik een plug-in om het aantal mislukte loginpogingen te beperken.
  • Maak regelmatige back-ups: Zorg ervoor dat je altijd een recente back-up hebt van je website.