Beveiligingslek in de Forminator plugin van Wordpress
Heel veel organisaties gebruiken Wordpress om hun website te bouwen of te onderhouden. Daarom vanuit Veiliginternetten.nl dit bericht:
De Forminator is een plug-in waarmee je in WordPress een formulier kunt maken voor elke website en elke situatie. Bijvoorbeeld een contactformulier, bestelformulier, betalingsformulier, e-mailformulier of registratieformulieren met betalingopties zoals PayPal.
Het lek, bekend als CVE-2021-24542, maakt het voor aanvallers mogelijk om willekeurige code uit te voeren op de websites die de plug-in geïnstalleerd hebben. De kwetsbaarheid geeft ongeautoriseerde gebruikers de kans om kwaadaardige scripts te kunnen plaatsen. Als dat gelukt is, kan een criminele hacker bijvoorbeeld je website overnemen of de gegevens van je klanten inzien.
Het is bekend dat er actief naar kwetsbare websites wordt gezocht. Beheer jij je eigen Wordpress website, update de plug-in dan zo snel mogelijk naar de nieuwste versie. Hier* vind je informatie over hoe je dat doet.
Phishing gericht op Lastpass gebruikers
Lastpass heeft zijn gebruikers gewaarschuwd voor een phishingaanval. De aanval begint vaak met een valse e-mail waarin wordt gevraagd om te bellen omdat er een dringende kwestie via de telefoon moet worden opgelost. Wanneer je belt, vraagt de zogenaamde helpdeskmedewerker om gevoelige informatie zoals bijvoorbeeld je hoofdwachtwoord.
Lastpass roept op om alert te zijn op dergelijke e-mails en telefoontjes die van Lastpass lijken te komen. Goed om te onthouden:
- Lastpass zal nooit om je hoofdwachtwoord vragen
- Twijfel je of het gaat om een echte e-mail of telefoontje, neem dan zelf contact op met Lastpass via een telefoonnummer of e-mailadres dat je zelf opzoekt.
- Heb je je hoofdwachtwoord gedeeld met de zogenaamde helpdeskmedewerker? Verander direct je hoofdwachtwoord en neem contact op met Lastpass.
Daarnaast geldt:
- Geef nooit een wachtwoord door aan iemand van een helpdesk. Je wachtwoord is van jou alleen. Vraagt iemand om je wachtwoord of pincode, dan weet je zeker dat dit niet klopt. Verbreek de verbinding of gooi de e-mail direct weg.
- Klik nooit zomaar op een link. Eerst checken dan klikken
- Heb je toch geklikt, verander dan direct je hoofdwachtwoord. Neem contact op met Lastpass over de volgende stappen.
