De gevaren van het blind vertrouwen van ontwikkelaars

Vorige week kwam naar buiten dat er weer eens een WordPress plug-in gigantische gaten in websites veroorzaakt. John Leyden (journalist voor The Daily Swig) schrijft hier het volgende over: “Kwetsbaarheden in OptinMonster, een plug-in voor e-mailmarketing voor WordPress, lieten meer dan een miljoen websites open voor misbruik, waarschuwen beveiligingsonderzoekers van Wordfence.” De plug-in laat aanvallers gevoelige informatie exporteren en kwaadaardige JavaScript toevoegen aan kwetsbare sites, naast andere exploits.

Volgens die laatste statistieken van de WordPress-plug-inwinkel, draait bijna een kwart (23,6%) van de één miljoen OptinMonster installaties sterk verouderde builds.

Hoe voorkom je het slachtoffer te zijn van kwetsbare software?

Het antwoord op deze vraag is eigenlijk heel simpel: gebruik populaire pakketten (het liefst open-source), houdt deze software up-to-date en pas algemene beveiliging best-practices toe (goede authenticatie en autorisatie, segmentatie, encryptie, enz.). Deze maatregelen zullen nooit 100% zekerheid bieden, verreweg van. Daarom is het belangrijk om naast voorzorgsmaatregelen, ook actief op zoek te gaan naar lekken in je eigen website/applicatie. Met dit zogenaamde pentesten probeer je kwetsbare software en configuraties te vinden en vervolgens te misbruiken. Het kan goed zijn dat je het bij een eerste test voor elkaar krijgt om alle gevoelige informatie uit de database op je scherm te krijgen! Het punt is dat een kwaadaardige actor dit ook had kunnen doen, wat niet plezierig was geweest.

Interesse gekregen in het veilig maken/houden van je website of applicatie? Neem dan contact met ons op of kijk op salt-security.com.

Thomas van den Nieuwenhoff

Cyber Security Consultant voor SALT Cyber Security.