Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Weer securityrisico’s door WordPress-plugins

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 25 februari 2015 11:35 uur

Weer grote problemen met een WordPress-plugin, deze keer met een serieus lek in de analysetool WP-Slimstat. Sucuri.com maakte het lek begin deze week via haar blog wereldkundig. Beheerders van WordPress-sites worden dringend geadviseerd om Slimstat 3.9.6 te installeren. Hosters van deze sites – WordPress is een van populairste contentmanagementsystemen – doen er goed aan om hun klanten op het veiligheidsrisico te wijzen: potentieel kunnen hackers hele sites overnemen.

Het lek zelf is overigens van beschamende eenvoud. Bij de installatie van de plugin in WordPress wordt een key gegenereerd. De waarde van die sleutel wordt bepaald door de datum waarop de installatie wordt gedaan. Wie via Internet Archive de datum achterhaalt waarop de plugin is geïnstalleerd, kan de sleutel binnen luttele minuten ‘kraken’. Daarna is het mogelijk om met SQL-injectie onder meer logingegevens van bezoekers te bemachtigen of zelfs hele sites over te nemen.

Het is bepaald niet voor het eerst dat WordPress-plugins voor serieuze securityrisico’s zorgen. Mailpoet, een plugin voor nieuwsbrieven, zorgde vorig jaar voor aanzienlijke risico’s omdat de software het mogelijk maakte PHP-bestanden te uploaden naar de hostserver. Een andere populaire plugin, Customer Contact Form, maakte het in de zomer van vorig jaar mogelijk om zonder enige vorm van authenticatie databases van afstand te wijzigen. Ook dat lek werd ontdekt door Sucuri.

Nog geen reacties

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.