Veel WordPress-sites bevatten kritiek lek
De servers van WordPress blijken het cookie dat de inlog regelt, te verzenden in platte tekst. Volgens de ontdekker van het probleem, Yan Zhu, technicus van de Electronic Frontier Foundation (EFF), is het voor een scriptkiddie een triviale handeling om op een openbare wifi-hotspot zo'n cookie te onderscheppen en te misbruiken.
Shutterstock
Shutterstock
Het cookie heeft de bestandsnaam 'wordpress_logged_in' en wordt op de computer van de gebruiker geplaatst zodra deze is ingelogd met gebruikersnaam en wachtwoord. Wanneer de site merkt dat het cookie is gezet, krijgt de gebruiker toegang tot het gebruikersaccount, blogs en andere bestanden. Door het cookie te kopiëren, kon ze echter met ook een andere computer zonder verdere controle toegang tot de site krijgen. Het gewraakte logged-in-cookie heeft een geldigheid van 3 jaar, ook al logt de legitieme gebruiker uit.
Toegang tot veel privé-gegevens
Inloggen lukte ook op sites waarvoor normaal 2-facor authenticatie nodig is ter verificatie bij log-in. Zhu kon vervolgens op sites veel gebruikersgegevens veranderen, blogs posten uit naam van de eigenaar en zelfs 2-factor auhenticatieinstellen als dat nog niet was gebeurd. Wachtwoorden veranderen was niet mogelijk omdat daar een extra authorisatiestap voor nodig is. Die wordt met een ander cookie geregeld.
WordPress heeft het probleem inmiddels bevestigd. Volgens de organisatie is er een fix in de maak maar die komt pas beschikbaar in de nieuwe versie van WordPress, meldt Ars Technica. Ook is het goed te vermelden dat wie zelf WordPress host op een eigen server niet kwetsbaar is, mits de site volledig met https is beschermd en voor de cookies de beveiliging is aangezet.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee