WPLounge
OneTone thema - risico voor je WordPress veiligheid
Home » WordPress Themes » Hackers richten zich op WordPress-sites met het OneTone thema

Hackers richten zich op WordPress-sites met het OneTone thema

Gebruik je het OneTone thema op je WordPress website? Dan moet je direct actie ondernemen. Schakel dit verouderde WordPress-thema nu uit en vervang het door een adequaat alternatief. Je loopt het risico de controle over je site te verliezen!

Affiliate disclaimer:
In onze artikelen en op onze pagina's staan affiliate links. Wanneer je via één van deze links een aankoop doet, ontvangen wij een (meestal kleine) commissie van de verkoper. Wij geven altijd onze eerlijke mening over producten. Klik hier voor meer informatie.

OneTone thema - risico voor je WordPress veiligheid

Hackers zijn begonnen met het actief targeten van WordPress-sites met het OneTone-thema. Dit is een poging om een kwetsbaarheid te misbruiken die hackers de mogelijkheid geeft om cookies te lezen en te schrijven. Daarnaast proberen hackers backdoor-beheerdersaccounts aan te maken op jouw site.

Het beveiligingslek dat in de lopende campagne wordt misbruikt, is een cross-site scripting (XSS)-fout in het OneTone WordPress-thema. Het OneTone thema van Magee WP is sinds 2018 niet meer bijgewerkt. Hopelijk zal dat snel gebeuren. In de tussentijd raden we iedereen die het OneTone thema gebruikt, aan om (tijdelijk) te switchen naar een andere template.

TIP VAN WPLOUNGE
Divi theme & Divi Builder
Bij Elegant Themes ontvang je meer dan
85 premium WordPress themes (waaronder Divi!) voor maar 89 dollar!
Bekijk de themes »»
Lees meer over Divi.

Een XSS fout binnen het OneTone thema

De XSS-kwetsbaarheid, waardoor een hacker schadelijke code in de instellingen van het thema kan injecteren, werd in september vorig jaar voor het eerst ontdekt door Jerome Bruandet van NinTechNet. Bruandet informeerde Magee WP en het WordPress-team destijds over de bug. Sindsdien heeft de ontwikkelaar ondanks de waarschuwing nog steeds geen patch voor het probleem uitgebracht.

Dit leidde ertoe dat het WordPress-team in oktober 2019 de vermelding voor de gratis versie van OneTone verwijderde. Momenteel hebben nog steeds zo’n 15.000 WordPress-gebruikers het OneTone thema in gebruik.

OneTone kwetsbaarheid

Volgens een nieuw rapport van het cyberbeveiligingsbedrijf Sucuri begonnen hackers eerder deze maand de bug in OneTone actief te misbruiken. Luke Leak, Malware-onderzoeker bij Sucuri, zegt dat hackers de XSS-bug gebruiken om schadelijke codes in te voegen in het de OneTone bestanden. Het thema controleert deze instellingen voordat een pagina wordt geladen. Dit zorgt ervoor dat de kwaadaardige code wordt uitgevoerd op elke pagina!

Hackers detecteren ook gebruikers op admin-niveau. Vervolgens voegen ze een andere code toe aan je dashboard, of een cookie-account op admin-accountniveau aan op de server met de naam Tho3faeK. Deze twee achterdeurtjes geven een hacker toegang tot de site, zelfs als hun kwaadaardige XSS-code wordt verwijderd uit de instellingen van OneTone of als de kwetsbaarheid uiteindelijk wordt gepatcht.

Het lijkt er echter op dat een patch niet snel zal komen, aangezien Magee WP het thema sinds 2018 niet heeft bijgewerkt. Daarom moeten WordPress-gebruikers waarschuwen voor de risico’s van OneTone. Word geen slachtoffer van deze nieuwe hacking campagne.

Wat nu?

Heb je in je overzicht van thema’s (Weergave > Thema’s) een alternatieve template, die je direct kunt activeren? Dan is dat de snelste weg naar een betere beveiliging. We raden je hoe dan ook aan om een grondige scan te maken van je website.

Tijd voor een voorjaarsschoonmaak voor je WordPress site?

Wil je geen enkel risico nemen? Maak dan gebruik van de WPLounge pagebuilder en verhuisservice. Binnen 5 minuten ben je ready-to-go. Wij helpen je op weg als je je huidige website wilt verhuizen naar een schoon en 100% veilig platform.

WordPress website en hosting in 5 minuten

 

Beoordeel dit artikel

Roger Overdevest

Roger is eigenaar van de website WPLounge en van zoekmachine marketing bureau Kliq Internet

Reageer