Juni 2019 - WordPress plug-in security update

In de afgelopen maand is er weer het een en ander gebeurd in de WordPress plug-in community. In deze post lees je informatie over de plug-ins WordFence, WP Database Backup, ConvertPlus Popup en Slick Popup.

De volgende plug-ins zijn in mei en juni 2019 in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt. Lees ook de Mei-update, mocht je die gemist hebben.

WordFence

Laten we beginnen met een positieve vermelding. WordFence, een van de bekendere beveiligingsplug-ins, heeft in hun nieuwe versie 7.3.1 een aantal nieuwe inlog-functies.

Om te beginnen hebben ze hun tweestapverificatie opnieuw gebouwd. Beter, veiliger en bovenal: gratis! Ook voor de niet premium-gebruikers is de welbekende 2FA nu beschikbaar. 

Daarnaast hebben ze een optie ingebouwd om een catpcha-veld op de inlogpagina te zetten en hebben ze hun beveiliging tegen grote XML-RPC aanvallen opgeschroefd.

Voor een volledige lijst met veranderingen kun je terecht op hun blogpost. Als Engels geen probleem is voor je, is dat sowieso een interessant blog om te volgen.

WP Database Backup

Met de WP Database Backup plug-in maak je, zoals de naam al doet vermoeden, back-ups van je WordPress database. Deze plug-in staat in de top 10 van back-up plug-ins op de WordPress-marktplaats. Hier zijn twee problemen in ontdekt. 

In eerste instantie ging het fout bij het kunnen aanpassen van de plug-ins opties zonder ingelogd te zijn door vergeten te controleren of een ingelogd admin-account de opties wijzigt. Dat is natuurlijk niet handig, want zo kan een hacker zelf een e-mailadres opgeven waar een afgeronde back-up naar verstuurd wordt.

De plug-in biedt ook de mogelijkheid om bepaalde tabellen van de database niet mee te nemen in de update. Op dit lijstje zat helaas geen controle en hierdoor konden hackers zonder controle commando's rechtstreeks naar de onderliggende hostingserver sturen. Onze hostingservers zijn tegen dit soort aanvallen beschermd, maar minder streng ingestelde servers kunnen hierdoor in de problemen gekomen zijn.

Beide punten zijn opgelost in versie 5.2 van de WP Database Backup plug-in die op 30 april al is uitgekomen.

ConvertPlus Popup Plugin

Een all-in-one WordPress popup plugin. Zo omschrijft ConvertPlus zichzelf op de Envato-marktplaats voor betaalde WordPress plug-ins. ConvertPlus wordt gebruikt om gemakkelijk pop-up schermen op je website te tonen om bijvoorbeeld aanmeldingen voor je nieuwsbrief te verzamelen. De ingevulde e-mailadressen worden vervolgens als een account aangemaakt binnen je WP-omgeving.

Eén probleem: bij het invullen en opslaan van zo'n pop-up scherm, werd er vergeten te controleren of er niet met het formulier zelf geknoeid was. Resultaat: door een kleine aanpassing te doen in je browser, kon je jezelf een admin-account aanmaken.

Gelukkig reageerden de ontwikkelaars van ConvertPlus snel en brachten ze op 28 mei een patch uit. Daarna op 3 en 7 juni nog een keer. Inmiddels is versie 3.4.5 de meest up-to-date versie.

Slick Popup

Een andere plug-in die pop-ups verzorgt, in dit geval specifiek voor een andere plug-in (contact form 7). Slick Popup is volgens de statistieken minder populair dan ConvertPlus en heeft zo'n 7000 actieve gebruikers van de gratis variant.

Ook bij Slick ging er iets niet goed met het aanmaken van nieuwe accounts. In dit geval hadden de ontwikkelaars een functie ingebouwd om op afstand een support-account voor zichzelf aan te maken. Op zich is daar niks mis mee, ware het niet dat er standaard inloggegevens leesbaar in de code stonden. En, vervelender nog: een bestaande gebruiker kon zich door die functie te gebruiken "upgraden" naar een administrator-account.

De ontwikkelaars geven aan dat er een update van de betaalde versie beschikbaar is, maar op het moment van schrijven is de plug-in niet meer te installeren. Advies: helemaal verwijderen en een andere plug-in kiezen.