Check WordPress Core files integrity

Check the md5 checksum of WordPress Core files against WordPress’ checksums API, using this standalone PHP file. I chose to use a standalone PHP script to check the md5sum of WordPress Core files against the API so you’re not dependent on a possibly hacked WordPress installation. This kind of guarantees the result can be trusted, as opposed to using a WordPress plugin. I think this is a better integrity check of WordPress Core files.

Continue reading “Check WordPress Core files integrity”

prettyPhoto DOM based XSS

prettyPhoto DOM based XSS on… This evening, after tweeting about preventing cross site scripting vulnerabilities, I received a reply from Olivier Beg. His reply to my tweet contained an image, as you can see above. He alerted me that was vulnerable to a DOM based XSS vulnerability, hidden in prettyPhoto used by my WordPress theme. Whoops! So, I had work to do! But, what is prettyPhoto and what exactly is a DOM based XSS?

Continue reading “prettyPhoto DOM based XSS”

“Joomla sites misused to deploy malware” – Update

The Internet Storm Center reports that a large number of Joomla sites are currently deploying malicious code and infecting visitors with malware; some WordPress sites are also thought to be affected. The German CERT-Bund⁠ Computer Emergency Response Team, which is operated by the German Federal Office for Information Security (BSI), has confirmed that similar attacks on and via Joomla servers have also been observed in Germany.

Continue reading ““Joomla sites misused to deploy malware” – Update”

WordPress Crayon Syntax Highlighter Plugin “wp_load” Remote File Inclusion Vulnerability

Charlie Eriksen has discovered a vulnerability in the Crayon Syntax Highlighter plugin for WordPress, which can be exploited by malicious people to compromise a vulnerable system. Input passed to the “wp_load” parameter in wp-content/plugins/crayon-syntax-hightlighter/util/ajax.php and wp-content/plugins/crayon-syntax-hightlighter/util/preview.php is not properly verified before being used to include files. This can be exploited to include arbitrary PHP files from external FTP resources.

Continue reading “WordPress Crayon Syntax Highlighter Plugin “wp_load” Remote File Inclusion Vulnerability”

Cross site scripting (XSS) beveiligingsproblemen tegengaan in websites

Een cross site scripting beveiligingsprobleem maakt het mogelijk om bepaalde, vaak kwalijke code uit te voeren in de browser-context van de bezoeker. Dat wil zeggen: als een scriptkiddie speciale code in een website weet te verbergen, dan kan hij daarmee bijvoorbeeld het cookie van een onwetende bezoeker stelen. Cookies bevatten vaak inlog- en sessiegegevens (autorisaties). Dit artikel laat zien, en geeft praktische tips over, hoe we cross site scripting beveiligingsproblemen tegen kunnen gaan. Dus hoe we een website beveiligen tegen cross site scripting.

Continue reading “Cross site scripting (XSS) beveiligingsproblemen tegengaan in websites”

Computerbeveiliging tips

Computerbeveiligingstips, tips voor een betere computerbeveiliging, én om computers veilig te houden. In mijn dagelijkse werk als systeembeheerder kom ik nog te vaak tegen dat websites van klanten gehackt of aangepast worden. Websites worden voorzien van iframes of andere codes. Of iets simpels als dat men geen e-mail meer kan versturen of ontvangen omdat een virusscanner instellingen heeft aangepast. Vaak is de computerbeveiliging niet op orde waardoor websites worden gehackt, spam verzonden en bankrekeningen via internetbankieren geplunderd…

Continue reading “Computerbeveiliging tips”

PHP/MySQLi prepared statements

In dit artikel behandelen we de MySQLi-extensie van PHP, om prepared statements te maken en SQL injection tegen te gaan. Het gebruik van Prepared statements is een goed middel om SQL injectie-aanvallen tegen te gaan. Je vindt meer informatie in het artikel Prepared statements: SQL Injection tegengaan. Omdat SQL injection verantwoordelijk is voor een groot percentage van het aantal gehackte websites is beveiliging hiertegen erg belangrijk. Voor aanvallers is het dan een koud kunstje om belangrijke informatie uit een database te stelen.

Continue reading “PHP/MySQLi prepared statements”