Juli 2019 - WordPress plug-in security update

In de afgelopen maand is er weer het een en ander gebeurd in de WordPress plug-in community. In deze post lees je informatie over de plug-ins Shortlinks by Pretty Links, Yoast, Easy Digital Downloads en Ad Inserter.

De volgende plug-ins zijn in juni en juli 2019 in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt. Lees ook de juni-update, mocht je die gemist hebben.

Shortlinks by Pretty Links

Shortlinks geeft je de mogelijkheid om op een gemakkelijke manier simpel onthoudbare (korte) redirects in te stellen naar andere pagina's in je website of op het web, een beetje in de trend van het bekende bit.ly.

De plug-in verzamelt gegevens van de bezoekers die de verkorte link bezoeken. In versie 2.1.9 en eerder werd die data niet goed schoongemaakt voordat deze werd opgeslagen. Hierdoor kon er zowel in het WordPress dashboard als in exports voor bijvoorbeeld Excel extra code toegevoegd worden. Met die toevoeging kon dan je dashboard of je computer geïnfecteerd worden.

De laatste nieuwe versie is 3.0.0 en hierin is dit (en nog een ander) veiligheidsrisico opgelost.

Yoast

Dat niemand perfect is en zelfs de populairste plug-ins niet helemaal veilig zijn, bewijst Yoast deze keer. Deze twijfelachtige eer krijgen ze, omdat er sinds een van de allereerste versies al vergeten wordt om HTML tags uit te filteren in bepaalde informatie van een WordPress post of pagina. Hierdoor maakten ze onbedoeld script-injectie mogelijk.

Inmiddels is er een update beschikbaar en kan versie 11.6 weer met plezier gebruikt worden.

Easy Digital Downloads

Als je als geld wil vragen om iets te kunnen downloaden, moet je er voor zorgen dat niemand dat bestand kan downloaden zonder betaald te hebben. De plug-in Easy Digital Downloads maakt dit mogelijk binnen je WordPress webshop.

De ontwikkelaars maakten helaas dezelfde fout als die van Shortlinks: het niet goed controleren van data voordat je het opslaat. Zodra je als admin in je dashboard de logs bekeek, liep je daardoor het risico om geinfecteerd te worden.

Dit probleem is opgelost in versies 2.9.16, 2.8.19 en 2.7.13.

Ad Inserter

Als je advertenties op je website wil plaatsen, is de Ad Inserter plug-in een handige toevoeging voor je WordPress website.

Door de rechten van gebruikers niet helemaal goed te controleren, kon iedereen met een geldige gebruikersnaam en wachtwoord ongewenste PHP code uitvoeren. Dat klinkt niet zo heel spannend, maar dat soort code kan dan gebruikt worden om bestanden te manipuleren of thema's en plug-ins te infecteren. 

Kudo's voor de ontwikkelaar van deze Ad Inserter plug-in. Hij kreeg op 12 juli te horen dat dit lek in zijn plug-in aanwezig was en een dag later publiceerde hij al een update. In versie 2.4.22 heeft hij het lek gedicht. Dat is nou nog eens snel en verantwoordelijk handelen.