November 2019 - WordPress plug-in security update

In de afgelopen maand is er weer het een en ander gebeurd in de WordPress (plug-in) community. In deze post lees je informatie over de plug-ins WP Maintenance en Email Subscribers & Newsletter.

De volgende plug-ins zijn in november 2019 in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt. Lees ook de oktober-update, mocht je die gemist hebben.

WP Maintenance

Als je een melding krijgt over een kwetsbaarheid in jouw software en een dag later heb je een update in de schappen liggen, heb je het als ontwikkelaar goed voor elkaar. Florent Maillefaud heeft het dus goed voor elkaar. En fouten maken is menselijk, toch?

Zijn WP Maintenance plug-in geeft je de mogelijkheid om achter de schermen aan je website te werken, terwijl het grote publiek de tijd ziet aftellen totdat je klaar bent. Wat Florent vergeten was, was te controleren of een bezoeker van de admin-pagina wel ingelogd was. Beetje jammer, want hierdoor kon van afstand de maintenance-mode worden ingeschakeld en de bezoeker worden doorverwezen naar malafide websites.

De update 5.0.6 lost dit probleem in ieder geval op, zodat we weer met een gerust hart kunnen werken.

Email Subscribers & Newsletters

Komt deze plug-in je bekend voor? Dat kan kloppen. In augustus is Email Subscribers & Newsletters namelijk ook al voorbij gekomen, toen omdat Fortiguard labs een probleem in de database ontdekten. 

Dat bleek niet alles te zijn. De afgelopen maand hebben de ontwikkelaars samengewerkt met de onderzoekers van Wordfence om 6 serieuze kwetsbaarheden te verhelpen. De ergste betrof een manier waarop Jan en Alleman een lijst kon downloaden met alle gegevens van alle mensen die zich aan hadden gemeld op de nieuwsbrief

Alle gevonden problemen zijn opgelost in de twee weken gelden uitgebrachte versie 4.3.1. 

WP-VCD

Iedereen weet dat illegaal downloaden niet mag. Dat geldt dus niet alleen voor films en muziek en voor spellen en software, maar ook voor plug-ins en thema's van je WordPress website.

Als je je afvraagt wat er mis kan gaan, raad ik je aan om het whitepaper "WP-VCD: The Malware You Installed On Your Own Site" te lezen. In 26 pagina's legt Mikey Veenstra, onderzoeker bij Wordfence, uit hoe een specifieke vom van malware al sinds 2017 duizenden websites heeft geïnfecteerd. 

En nee, niet door een lek in een plug-in, thema of de code van WordPress zelf. 

Het venijnige van deze malware is dat het zich richt op de gierigheid van gebruikers. Liever dan de prijs te betalen die ontwikkelaars vragen voor hun harde werk, wordt een "gratis" variant gedownload via een ongure site. Deze download installeert inderdaad de plug-in, maar plaatst meteen ook een achterdeurtje in je website. Vanaf dat moment wordt je site misbruikt om over jouw rug advertentie-inkomsten en nog meer slachtoffers te genereren.

Dit is dus niet specifiek een melding over een plug-in of een thema, maar een veel bredere waarschuwing. Want zo blijkt maar weer eens dat het installeren van illegale gedownloadde software een risico is. Doe het dus vooral niet.