Augustus 2019 - WordPress plug-in security update

In de afgelopen maand is er weer het een en ander gebeurd in de WordPress plug-in community. In deze post lees je informatie over de plug-ins WP Fastest CachePopup BuilderWoody Ad Snippets en Email subscribers & Newsletters.

De volgende plug-ins zijn in juli en augustus 2019 in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt. Lees ook de juli-update, mocht je die gemist hebben.

WP Fastest Cache

Snelheid is voor websites van groot belang. Niet voor niets zijn er honderden verschillende caching plug-ins waar tientallen miljoenen websites gebruik van maken.

WP Fastest Cache is een van de populairste caching plug-ins binnen WordPress. Met ruim 1 miljoen actieve installaties, is het de op een na meest geïnstalleerde plug-in. Alleen WP Super Cache heeft er meer.

Eind juli vonden onderzoekers drie lekken in WP Fastest Cache. Twee daarvan zijn alleen van toepassing op Windows systemen en zijn dus niet van toepassing op onze Linux hostingservers. De derde wel: in combinatie met de Google Translate plug-in kan een aanvaller de homepagina van je website aanpassen.

Gebruik je WP Fastest cache? Update dan naar de laatste nieuwe versie 0.8.9.6 om niet meer kwetsbaar te zijn voor dit lek.

Popup Builder

Omhoog springende schermpjes. Soms verdraaid irritant, soms erg handig. Met de Popup Builder plug-in van Sygnoos wordt het binnen WordPress gemakkelijk om de aandacht van je bezoekers te trekken.

Eind juli vonden onderzoekers een kwetsbaarheid in de Popup Builder plug-in. Misbruik daarvan zorgt er voor dat aanvallers van afstand de database van je website kunnen manipuleren. Bijvoorbeeld door een extra admin-gebruiker voor zichzelf aan te maken om zo je website over te nemen. 

Gebruik je Popup Builder? Op 6 augustus brachten de ontwikkelaars versie 3.45, waarmee je niet meer kwetsbaar bent voor dit lek.

Woody ad snippets

WordPress biedt uit zichzelf al veel functionaliteit. Voeg daar enkele plug-ins aan toe en je komt nooit iets te kort, zou je denken. De Woody ad snippets plug-in maakt het mogelijk om gemakkelijk kleine stukjes herbruikbare code toe te voegen op je websites, zonder dat je daarvoor een hele extra plug-in hoeft te installeren. Ideaal voor bijvoorbeeld Google Analytics code in een footer of advertenties voor of na iedere post. 

Onderzoekers vonden op 29 juli een kwetsbaarheid, waardoor er op afstand scripts geïnstalleerd kunnen worden op een WordPress website zonder ingelogd te hoeven zijn. Wel hebben ze daarvoor een admin-account nodig dat een keer inlogt, maar dat gebeurt nogal regelmatig op een actieve website. 

De ontwikkelaars noemen "some issues with plugin security" in hun changelog zonder veel poespas. Op het blog van the Ninja Technologies Network staat een uitgebreide uitleg over deze kwetsbaarheid, het risico en misbruik.

Gebruik je Woody ad snippets? In versie 2.2.5 is dit lek gedicht, inmiddels zijn ze bij versie 2.2.7.

Email Subscribers & Newsletters

Nieuwsbrieven en andere updates per e-mail versturen, is een ideale manier om contact te houden met je doelgroep. De Email Subscribers & Newsletters plug-in maakt het mogelijk om op een gemakkelijke manier je mailinglijst op te bouwen en de geadresseerden te benaderen. 

Ook hier maakten de ontwikkelaars een fout, waardoor aanvallers van afstand de database konden manipuleren. Sinds dat de onderzoekers van FortiGuard Labs dit lek vonden en onder de aandacht gebracht hebben, hebben de ontwikkelaars de plug-in al voorzien van zeven updates met een oplossing en nieuwe functionaliteit.

Gebruik je Email Subscribers & Newsletters? In versie 4.1.7 is het lek gedicht, inmiddels zijn ze bij versie 4.1.13.

Andere plug-ins met updates

Van de 11 plug-ins waar in de afgelopen maand een probleem bij is ontdekt, zijn de vier genoemde het meest populair op ons shared hosting platform. Maar, zorg er ook voor dat je de genoemde nieuwste versies hebt van de volgende plug-ins om problemen met hackers te voorkomen: